TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Tokat Gaziosmanpaşa Üniversitesi

Ulusal Siber Olaylara Müdahale Merkezi tarafından yürütülen tehdit istihbaratı faaliyetleri kapsamında Reşadiye Meslek Yüksekokuluna ait olduğu değerlendirilen öğrenci bilgilerinin saldırganlar tarafından internette çeşitli forum sitelerinde satıldığı veya satılmaya çalışıldığı bilgisinin veri sorumlusu Tokat Gaziosmanpaşa Üniversitesi’ne 03.10.2023 tarihinde bildirilmesi üzerine veri sorumlusu Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirimde bulunmuştur. Yapılan bildirimde:

• İncelemelerde yurtdışı IP adreslerinden veri sorumlusu sistemlerine yetkili kullanıcı olarak giriş yapıldığının tespit edildiği,
• İhlalin 11.09.2023 tarihinde meydana geldiği ve 03.10.2023 tarihinde tespit edildiği,
• İhlalden etkilenen ilgili kişi grubunun öğrenciler olduğu,
• İhlalden etkilenen verilerin; kimlik, iletişim, görsel ve işitsel kayıt verileri olduğu,
• İhlalden etkilenen kişi sayısının tahmini 741 olduğu, belirtilmiştir.              

Bkz. https://www.kvkk.gov.tr/Icerik/7722/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Tokat-Gaziosmanpasa-Universitesi –

Johnson Controls Klima ve Servis Soğutma Sanayi ve Ticaret Limited Şirketi

Veri sorumlusu  Johnson Controls Klima ve Servis Soğutma Sanayi ve Ticaret Limited Şirketi,  fidye yazılımı saldırısına maruz kalınması sonucunda Kurul’a bildirimde bulunmuştur. Yapılan bildirimde:

• İhlalin 24.09.2023 tarihinde gerçekleştiği,
• Kişisel verileri içeriyor olabilecek bazı bilgi teknolojileri varlıklarının da bu saldırıdan etkilendiği ve kullanılamamakta olduğu,
• İhlalden etkilenen kişisel veri kategorilerinin bu aşamada bilinmediği,
• İhlalden etkilenen ilgili kişi sayısının ve gruplarının henüz bilinmediği, belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7723/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Johnson-ControlsKlima-ve-Servis-Sogutma-San-ve-Tic-Ltd-Sti-

Havaist Taşımacılık Sanayi ve Ticaret Anonim Şirketi

Veri sorumlusu Havaist Taşımacılık Sanayi ve Ticaret Anonim Şirketi, kısa mesaj gönderimleri için hizmet alınan veri işleyenin sistemlerine saldırıda bulunulduğu ve ilgili kişilerin bilgilerine yetkisiz erişim sağlanması ile ihlalin gerçekleştiğinden bahisle Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İlgili kişilere oltalama saldırısı gerçekleştirilmesi amacıyla kısa mesaj gönderildiği,
• İhlalin 26.09.2023 tarihinde gerçekleştiği ve 27.09.2023 tarihinde tespit edildiği,
• İhlalden 77.000 kişiye ilişkin cep telefonu verisinin etkilendiği,
• İhlalden etkilenen kişi grubunun henüz bilinmediği, belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7724/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Havaist-Tasimacilik-Sanayi-ve-Ticaret-A-S-

Diğer Gelişmeler

Seçilmiş Güncel Gelişmeler 26 yayımlanmıştır.  

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 26” yayımlanmıştır. 

Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-26/

Kişisel Verileri Koruma Kurumu (“Kurum”), “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” yayımlamıştır.

Kurum, “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” yayımlamıştır.

Rehbere buradan, rehbere ilişkin hazırlamış olduğumuz olduğumuz bilgi notuna buradan ulaşabilirsiniz.

Millî Eğitim Bakanlığı Okul Öncesi Eğitim ve İlköğretim Kurumları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelikle (“Yönetmelik”) öğrencilerin kişisel verilerine koruma getirilmiştir.

Yönetmeliğin ile öğrencilerin okul içi ve okul dışında yapılan eğitim etkinlikleri, sosyal ve kültürel faaliyetler ile gezi ve gözlem faaliyetleri esnasında çekilen görüntülerinin sosyal medya platformları ve haberleşme gruplarında her ne ad altında olursa olsun paylaşılamayacağı düzenlenmiştir. Fakat öğrencilerin velilerinden veya rehberlik öğretmeni gözetiminde öğrencilerin kendisinden yazılı izin alınması hallerinde öğrencilerin görüntüleri sosyal medya platformları ve haberleşme gruplarında paylaşılabilecektir.

Bkz. https://www.resmigazete.gov.tr/eskiler/2023/10/20231014-1.htm

DÜNYADAKİ GELİŞMELER

Güncel Kararlar

İsveç Veri Koruma Otoritesi (“IMY”), H&M’e 30.000 € para cezası vermiştir.

Veri sorumlusu H&M, elektronik ticari ileti izni vermeyen ilgili kişilere elektronik ticari ileti göndermiştir. Bunun üzerine ilgili kişiler de veri sorumlusu hakkında IMY’ye şikayette bulunmuştur. IMY, veri sorumlusunun ilgili kişilerin doğrudan kişisel verilerinin işlenmesine itiraz edebilmesi için kurulan bir sistemin ya da izlenen bir prosedürün var olmadığına kanaat getirmiştir. Bu sebeple IMY, veri sorumlusuna 30.000 € para cezası vermiştir. 

Bkz. https://www.enforcementtracker.com/ETid-2070

Fransız Veri Otoritesi (“CNIL”), Groupe Canal+’a 600.000 € para cezası vermiştir.

 CNIL, veri sorumlusu Groupe Canal+’ın 

• İlgili kişilere elektronik ticari ileti göndermek için ilgili kişilerden geçerli izin almadığını,
• Aydınlatma metninde kişisel verilerin saklama sürelerine ilişkin yeterli bilgi sağlamadığını,
• Pazarlamaya ilişkin telefon görüşmelerinde potansiyel müşterilere kişisel verileri hakkında yeterli bilgi sağlamadığını,
• İlgili kişilerden gelen taleplere yeterince yanıt vermediğini,
• Kişisel verilerin veri işleyen tarafından işlenmesine yönelik sözleşme yapmadığını,
• Kendi çalışanları için şifreleri uygun şekilde güvence altına almadığını,
• Bir veri ihlalini bildirmediğini, tespit etmiş ve veri sorumlusuna 600.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/Etid-2029

Hırvat Veri Koruma Otoritesi (“AZOP”), bir alacak tahsilat kurumuna 5.470.000 € para cezası vermiştir.

AZOP, veri sorumlusu bir alacak tahsilat kurumunun kişisel verileri (özel nitelikli kişisel veriler, isim, doğum telefon, ikametgah adresi, borç ilişkisinin tarafı olmayan üçüncü kişilerin verilerini) hukuka aykırı bir şekilde işlediğini ifade eden isimsiz bir şikâyet almış ve şikayete 181.641 borçluya ait kişisel verilerin yer aldığı USB bellek konu olmuştur.

Buna göre AZOP,

• Veri sorumlusunun sistemlerinden veri sızıntısını zamanında tespit edebilecek yeterli korumanın bulunmadığını,
• Veri sorumlusunun ilgili kişilerin sağlık verilerinin herhangi bir yasal dayanağı olmadan işlediğini tespit etmiş;
• Veri sorumlusunun ilgili kişilerin telefon konuşmalarını meşru amaçlarla işlemediğine bu sebeple veri işlenmesinin herhangi bir yasal dayanağının olmadığına ve 
• İlgili kişilerin kişisel verilerinin işlenmesi hakkında aydınlatma yükümlülüğünün tam olarak yerine getirilmediğine kanaat getirilmiştir.

Bu nedenlerle, AZOP veri sorumlusuna 5.470.000 €  para cezası vermiştir. 

Bkz. https://www.enforcementtracker.com/Etid-2063

IMY, Stockholm School yönetimine 70.000 € para cezası vermiştir.

IMY, Stockholm School içerisinde ölçülü denemeyecek bir biçimde güvenlik kamerası yer aldığını tespit etmiştir. Veri sorumlusu ise bunun sebebinin geçmişte çıkarılan yangınlar olduğunu beyan etmiştir.  IMY, soruşturma sırasında okul koridorlarının, merdiven boşluklarının, kapıların, tuvaletlerin ve öğrenci dolaplarının 50 adet güvenlik kamerası ile izlendiğini ve kameraların 7/24 görüntü kaydı aldığını tespit etmiştir. IMY, yangınların önlenebilmesi amacıyla güvenlik kamerası ihtiyacının olmasının mümkün olabileceğini, fakat izlenen kısımların belirli alanlarla sınırlı olması gerektiğini belirtmiştir. Bu nedenle IMY, okuldaki güvenlik kameralarının izlediği alanların yangınları önlemek için izlenmesi gereken alanla orantılı olmadığına kanaat getirerek, Stockholm School yönetimine 70.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/Etid-2067

İtalyan Veri Koruma Otoritesi (“Garante”), Axpo Italia Spa’ye 10.000.000 € para cezası vermiştir.

İlgili kişilerin elektrik ve gaz tedarikine ilişkin olarak daha önce bir tedarikçi ile sözleşme yapmış olması ve sözleşme ilişkisinin sonlanmış olmasına rağmen, yeni tedarikçi veri sorumlusu Axpo Italia Spa tarafından kendilerine fatura veya ödeme hatırlatması gönderilmiştir. İlgili kişiler veri sorumlusuna herhangi bir başvuru yapmamasına rağmen ilgili kişilerin elektrik ve gaz tedarikine ilişkin eski tedarikçileriyle yaptığı sözleşmeler tekrardan yeniden yürürlüğe girmiştir. İlgili kişiler de buna ilişkin olarak Garante’ye başvuruda bulunmuşlardır. Buna göre Garante,

• Sözleşmelerde yer alan e-posta adresi, telefon numarası ve hizmet numarası gibi kişisel verilerin doğru ve güncel olmadığını,
• Veri sorumlusunun elektrik ve gaz tedarikine ilişkin sözleşmelerin taraflarının elektrik ve gaz kullanan kişilerin kişisel verilerinin yer aldığı bir veri tabanından elde ettiğini,
• Bu veri tabanından alınan kişisel verilerin doğrudan sözleşmelerde kullanılmasının bazı sözleşmelerdeki kişisel verilerin doğru ve güncel olmamasına sebep olduğunu tespit etmiştir. Bu nedenle, Garante veri sorumlusuna 10.000.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2077

Kamuoyu Duyuruları ve Haberler

Avrupa Veri Koruma Denetçisi (“EDPS”), AB Yapay Zeka Yasası’na (“AI Act”) ilişkin Avrupa Birliği’ndeki (“AB”) yasa koyucularına yönelik öneriler yayımlamıştır.

EPDS’nin yayımladığı öneride, 

• Kabul edilemez riskler taşıması nedeniyle yasaklanması gereken yapay zeka sistemlerinin ve yüksek riskli yapay zeka sistemlerine ilişkin olarak EDPS - Avrupa Veri Koruma Kurulu (“EDPB”) Ortak Görüşünde söz edilen “kırmızı çizgilerin” kritik bir önemde olduğu hatırlanmalı,
• AI Act uygulamaya başlandığı tarihte halihazırda kullanılmakta olan yapay zeka sistemleri AI Act’in kapsamına dahil edilmeli,
• EDPS’nin bir organ ve gözetim otoritesi olarak ne zaman görev alacağı, yetkileri net bir şekilde tanımlanmalı,
• Yapay zeka sistemlerinin kullanımından etkilenen kişilerin yetkili bir otoriteye şikayette bulunma ve otoritenin kararına karşı da yargıya başvurma hakkı AI Act’e dahil edilmeli, 
• AB’deki veri koruma otoriteleri ulusal denetleyici makamlar olarak atanmalı, 
• AB düzeyinde bir organ olarak Avrupa Yapay Zekâ Ofisi kurulmalı,
• Yapay Zekâ Ofisi Sekretaryası’nın EDPS tarafından sağlanmalı, ifadelerine yer verilmiştir. 

Bkz. https://edps.europa.eu/press-publications/press-news/press-releases/2023/edps-final-recommendations-aiact_en

CNIL, yapay zeka sistemlerinin geliştirilmesi için veri setlerinin nasıl oluşturulacağına ilişkin bilgilendirme metinleri yayımlamıştır ve bunları kamuoyunun görüşlerine açmıştır.

CNIL amacının yenilikleri geliştirmek, yapay zekanın bireylerin haklarının uyum içerisinde sürdürmesine yardımcı olmak ve Avrupa Veri Koruma Tüzüğü’nün yapay zekaya uygulanması için ilgili hukuki ve teknik konularda pratik yanıtlar sağlamak olduğunu belirtmiştir. Kamuoyunun görüşü 16.11.2023 tarihine kadar alınmaya devam edeceği ilan edilmiştir. 

Bkz. https://www.cnil.fr/en/artificial-intelligence-cnil-opens-consultation-creation-datasets-ai

Güney Kore Veri Koruma Otoritesi (“PIPC”) içinde Yapay Zeka Gizliliği ekibi isimli bir çalışma grubu kurulmuştur.

Yapay Zeka Gizliliği ekibinin yapay zeka döneminde takip edilmesi gereken ilkeleri öngörmeye odaklanacağı ifade edilmiştir. Özellikle ekibin yapay zeka mahremiyeti alanında devlet ile özel sektör arasında iletişim ve iş birliği sağlayacağı ve kuruluşların karşılaşabilecekleri belirsizlikleri çözüme kavuşturacağı beklenmektedir.

Bkz. https://iapp.org/news/a/south-koreas-pipc-launches-ai-privacy-unit/

Birleşik Krallık Veri Koruma Otoritesi (“ICO”), çalışanların iş yerinde hukuka uygun, şeffaf ve adil bir şekilde izlenmesine yönelik bir rehber yayımlamıştır.

 Rehberde,

• İzlemenin niteliği, kapsamı ve nedenleri konusunda çalışanların bilinçlendirilmesi,
• Açıkça tanımlanmış bir amaca sahip olunması ve buna ulaşmak için en az müdahaleci araçların kullanılması,
• Çalışanların verilerinin işlenmesi konusunda yasal bir dayanağın var olması,
• Herhangi bir izleme hakkında çalışanların aydınlatılması,
• Sadece belirlenen amaç kapsamında gerekli olan verilerin saklanması,
• Çalışanların hakları açısından yüksek risk oluşturması muhtemel her türlü izleme için veri koruma etki değerlendirmesi yapılması,
• İzleme yoluyla toplanan kişisel verilere erişim talep edilmesi halinde bu verilerin çalışanlara sunulması gerektiğinin altı çizilmiştir.

Bkz. https://ico.org.uk/media/for-organisations/uk-gdpr-guidance-and-resources/employmentinformation/employment-practices-and-data-protection-monitoring-workers-1-0.pdf