TÜRKİYE’DEKİ GELİŞMELER
İhlal Bildirimleri
Baykar Motorlu Araçlar A.Ş.
Veri sorumlusu Baykar Motorlu Araçlar A.Ş.’ye 14.10.2022 tarihi itibariyle siber saldırı gerçeklemiş ve sistemlerin kullanımı engellenmiştir. Veri ihlali, Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirilmiştir. Yapılan bildirimde:
- Etkilenen kişi gruplarının çalışanlar, kullanıcılar ve müşteriler/potansiyel müşteriler olduğu,
- İhlale konu olan kişisel veri kategorilerinin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, finans, meslek, deneyim, pazarlama, görsel işitsel kayıtlar ile özel nitelikli kişisel verilerden sağlık, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
- Etkilenen kişi sayısının henüz tespit edilemediği,
belirtilmiştir.
Aktif İnş. Taşımacılık Paz. San. ve Tic. A.Ş.
Veri sorumlusu Aktif İnş. Taşımacılık Paz. San. ve Tic.A.Ş., 28.10.2022 tarihinde siber saldırıya uğramıştır. Veri sorumlusunun kullandığı yazılımların çalışmaması üzerine yapılan inceleme sonucunda veri ihlali aynı gün tespit edilmiş olup Kurul’a ihlal bildirimi yapılmıştır. Yapılan bildirimde özetle;
- Muhasebe, insan kaynakları ve müşteri kayıtlarına ilişkin verilerin ve programların silindiği,
- İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, finans, mesleki deneyim, pazarlama, sağlık bilgileri ile ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
- Çalışanlar, müşteriler, çocuklar ve bazı gerçek kişi tedarikçilerin etkilendiği
ifade edilmiştir.
AES Otelcilik Turizm ve Tic. A.Ş.
Veri sorumlusu AES Otelcilik Turizm ve Tic. A.Ş.28.10.2022 tarihinde siber saldırıya uğramıştır. Veri sorumlusunun kullandığı yazılımların çalışmaması üzerine yapılan inceleme sonucunda veri ihlali aynıgün tespit edilmiş olup Kurul’a ihlal bildirimi yapılmıştır. Yapılan bildirimde özetle;
- Muhasebe, insan kaynakları ve müşteri kayıtlarına ilişkin verilerin ve programların silindiği,
- İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, finans, mesleki deneyim, pazarlama, sağlık bilgileri ile ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
- Çalışanlar, müşteriler, çocuklar ve bazı gerçek kişi tedarikçilerin etkilendiği
İfade edilmiştir.
Aliza Otelcilik Turizm ve Tic. A.Ş.
Veri sorumlusu Aliza Otelcilik Turizm ve Tic. A.Ş.28.10.2022 tarihinde siber saldırıya uğramıştır. Yine Kasım ayında yayımlanan Aktif İnş. Taşımacılık Paz. San. ve Tic. A.Ş.’nin ve AES Otelcilik Turizm veTic. A.Ş.’nin ihlal bildirimi özet içeriği ile aynıdır. Veri sorumlusunun kullandığı yazılımların çalışmaması üzerine yapılan inceleme sonucunda veriihlali aynı gün tespit edilmiş olup Kurul’a ihlal bildirimi yapılmıştır. Yapılan bildirimde özetle;
- Muhasebe, insan kaynakları ve müşteri kayıtlarına ilişkin verilerin ve programların silindiği,
- İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, finans, mesleki deneyim, pazarlama, sağlık bilgileri ile ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
- Çalışanlar, müşteriler, çocuklar ve bazı gerçek kişi tedarikçilerin etkilendiği
ifade edilmiştir.
Pamukkale Belediyesi
Veri sorumlusu Aliza Otelcilik Turizm ve Tic. A.Ş.’ye18.11.2022 tarihinde SQL saldırısı girişiminde bulunduğu ve USOM bünyesinde yürütülen tehdit istihbaratı faaliyetleri kapsamında saldırganlar tarafından veri sorumlusuna ait bazı bilgilerin internette çeşitli forum sitelerinde yayınlandığı tespit edilmiştir. SOME tarafından gelen uyarı ve bilgilendirme mesajı ile ihlalden haberdar olunmuş ve Kurul’a ihlal bildirimi yapılmıştır. Yapılan bildirimde özetle;
- Web sitesinde veritabanında bulunan burs ve esnaf yardımı tablolarında yer alan TC kimlik numarası, adres, iletişim, ad, soyad verilerinin sızma ihtimalinden şüphelenildiği,
- 11.000 kişinin ihlalden etkilendiği,
- Etkilenen kişi gruplarının öğrenciler ve diğer (esnaf) olduğu,
belirtilmiştir.
Bkz. https://www.kvkk.gov.tr/Icerik/7504/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Pamukkale-Belediyesi
ShangaiMoonton Technology Co Ltd.
Veri sorumlusunun işletmekte olduğu Mobile Legends isimli oyun ile ilgili tartışma forum sitesine üye olan kullanıcılara ait verilerin bir web sitesinde paylaşılması neticesinde veri ihlalinin oluştuğu belirtilmiştir. Veri ihlalinin 12.09.2022 tarihinden 15.09.2022 tarihine kadar sürdüğü ve ihlalin 03.11.2022 tarihinde tespit edildiği ifade edilmiştir. Özet ihlal bildiriminde aşağıdaki hususlara da yer verilmiştir:
- Veri ihlalinden 3.375 kullanıcı ve forum sitesi üyesinin etkilendiği,
- İhlale konu olan kişisel veri kategorilerinin kimlik, iletişim (e-posta), işlem güvenliği ve diğer kullanıcı kimliği, kullanıcı adı, alan ziyareti, cinsiyet, kullanılan alan, puanlar, itibar, varlık, katkı puanı, kayıt tarihi, son ziyaret zamanı, kayıt sırasında kullanılan IP, son ziyaret IP’si ve son etkinlik zamanı) verileri olduğu,
belirtilmiştir.
Diğer Gelişmeler
Kişisel Verileri Koruma Kurumu (“KVK Kurum”) tarafından“5. Yılında Kişisel Verileri Koruma Kurumu” başlıklı doküman yayımlandı.
KVK Kurumu’nun yayımladığı dokümanda, 2017 yılından 2022 yılına kadar olan 5 yıllık süreç içerisinde yayımlanan ilke kararlarına, kamuoyu duyurularına ve gerçekleştirilen kurumsal tanıtım, farkındalık ve bilinçlendirme çalışmalarına, KVK Kurumu’un uluslararası faaliyetlerine, yayınlara, kamu spotlarına, projelere yer verildi. KVK Kurum’unun organizasyon yapısı ve faaliyet alanlarına ilişkin bilgilerin yanı sıra yapılan çalışmalar sonucu elde edilen istatiksel veriler de paylaşıldı. Bu doğrultuda, Ocak 2017 yılından Mart 2022’ye kadar, toplamda 22.103 adet şikâyetin, ihlal bildiriminin ve başvurunun yapıldığı ve bunlardan 20.389 tanesinin sonuçlandırıldığı ve toplamda 74.116.828 TL idari para cezasının kesildiği belirtildi. Bir diğer dikkat çeken husus olarak 2017-2022 yılları arasında 829 adet kurum dışı görüşün geldiği ve kurum dışı cevaplanan görüş sayısının da 762 adet olduğu diğer istatiksel bilgiler içerisinde yerini aldı.
Bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/b5731c6c-540b-45eb-a2d8-d7cef57cf197.pdf
15.11.2022 tarih ve 32014 sayılı Resmî Gazete’de yayımlanan, 2019/25604 başvuru numaralı Anayasa Mahkemesi kararı ile başvurucu çalışanın iş arkadaşı ile gerçekleştirdiği yazışmaların incelenmesi neticesinde iş akdinin feshedilmesinin, özel hayata saygı hakkının ve haberleşme hürriyetinin ihlali olduğuna hükmedildi.
Belirtilen kararda, işverenin her ne kadar yönetim yetkisi kapsamında işçinin kullanımına özel olarak sunulan iletişim araçlarını denetleyebileceğini belirtse de Anayasa Mahkemesi, işverenin yönetim yetkisinin iş yerinin düzeni ve güvenliği ile sınırlı olduğu ve temel hak ve özgürlükleri sınırlayıcı nitelikte olmaması gerektiğini vurguladı.
Bkz. https://www.resmigazete.gov.tr/eskiler/2022/11/20221115-5.pdf
Seçilmiş Güncel Gelişmeler 9, Seçilmiş Güncel Gelişmeler 10 ve Seçilmiş Güncel Gelişmeler 11 yayımlandı.
Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 9”, “Seçilmiş Güncel Gelişmeler 10” ve “Seçilmiş Güncel Gelişmeler 11” yayımlandı.
Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-9/; https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-10/; https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-11/
AVRUPA BİRLİĞİ’NDEKİ GELİŞMELER
Güncel Kararlar
Fransız Veri Koruma Otoritesi (“CNIL”) Discord Inc’ye (”Discord”) Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki yükümlülüklerini yerine getirmemesinden dolayı 800 bin € para cezası uyguladı.
Discord, kullanıcılarına çevrimiçi ortamda mikrofonları ve/veya web kameraları aracılığı ile sohbet etmelerine imkân tanıyan metin, ses ve videoları oluşturabilecekleri alan yaratan ve anlık mesajlaşma hizmeti sunan bir teknoloji şirketidir. CNIL, Discord’un veri işleme amaçları doğrultusunda veri saklama ve imha politikasını oluşturmadığı ve imha sürelerini belirlemediği, ilgili kişilere yeterli aydınlatmayı yapmadığı, veri güvenliğini ihlal ettiği ve veri koruma etki değerlendirmesi yapmadığı gerekçeleri ile GDPR kapsamındaki yükümlülüklerini yerine getirmediğini tespit etti.
Bkz. https://www.cnil.fr/en/discord-inc-fined-800-000-euros
CNIL, ticari araştırma ve bireylerin haklarına ilişkin GDPR kapsamındaki yükümlülüklerini ihlal ettiği gerekçesiyle elektrik sağlayıcısı olan veri sorumlusuna 600 bin € idari para cezası uygulanmasına karar verdi.
CNIL, elektrik hizmeti sağlayıcısı olan EDF şirketine yönelik ilgili kişiler tarafından haklarının kullanılmasında yaşanan zorluklar neticesinde birçok şikâyet başvurusu almıştı. Zira, ilgili kişi başvuruları öngörülen süre içerisinde cevaplandırılmamıştı. Öte yandan EDF tarafından 2020ve 2021 yılları arasında yürütülen bir kampanyada ilgili kişilerin onayının alınmadan ticari ileti gönderildiği tespit edildi. CNIL yaptığı inceleme neticesinde, GDPR ve Fransız Posta ve Elektronik İletişim Kanunu uyarınca düzenlenen yükümlülüklere aykırı davranıldığını tespit etti.
Bkz. https://www.cnil.fr/en/commercial-prospecting-and-rights-individuals-edf-fined-600-000-euros
İrlanda Veri Koruma Otoritesi (“DPC”), Meta PlatformsIreland Limited’in (“Meta”) “veri kazıma” (“data scrapping”) faaliyeti için 2019 yılında başlatılan veri ihlali soruşturmasını tamamladı ve Meta’ya 265Milyon € para cezası uyguladı.
DPC 14 Nisan 2021 tarihinde, Meta’nın25 Mayıs 2018 ileEylül 2019 tarihleri arasında gerçekleştirdiği işleme faaliyetlerinin Facebook’un; Facebook Search, Facebook Messenger Contact Importer and Instagram Contact Importer araçları ile olan ilişkisini incelemek amacıyla soruşturma başlatmıştı. DPC tarafından yürütülen inceleme neticesinde GDPR’ın 25. maddesi kapsamında tasarım gereği gizlilik (“privacy by design”) ve varsayılan olarak gizlilik (“privacy by default”) ilkelerine aykırı davranıldığı gerekçesiyle 265 Milyon € para cezasının uygulanmasına karar verildi.
İspanya Veri Koruma Otoritesi (“AEPD”), GDPR kapsamında yükümlülüklerini yerine getirmediği gerekçesiyle veri sorumlusu Techpump Solutions’a 525bin € idari para cezası verdi.
AEPD tarafından yürütülen inceleme neticesinde, TechpumpSolutions’un internet sitesinde paylaştığı gizlilik politikasına aykırı şekilde kişisel veri işlediği ve grup şirketlerine veri aktardığı, 14 yaşından küçüklerin kişisel verilerinin işlenebilmesi için gerekli olan ebeveyn/vasirızasını almadığı, gizlilik politikasının İspanyolca değil İngilizce olarak hazırlandığı tespit edildi ve 525 bin € idari para cezası uygulandı.
Bkz. https://www.dataguidance.com/news/spain-aepd-fines-techpump-solutions-525000-data
Avrupa Veri Koruma Kurulu (“EDPB”) Bağlayıcı ŞirketKuralları’nın güçlendirilmesi amacıyla tavsiye metni yayımladı.
EDPB, yurtdışına veri aktarımda grup şirketlerine yönelik düzenlenen Bağlayıcı Şirket Kuralları’nın geliştirilmesine yönelik yayımladığı tavsiye metnini 10.01.2023 tarihine kadar kamuoyu görüşüne açtı. Metin, Bağlayıcı Şirket Kuralları’nın onayına ilişkin kriterleri ve standart başvuru formunun oluşturulmasına yönelik tavsiyeler içermektedir. Tavsiye metni ile Bağlayıcı Şirket Kuralları başvuru sahipleri bakımından eşit şartların sağlanması amaçlandı.
Avrupa Veri Koruma Denetçisi (“EDPS”), dijital unsurlara sahip ürünler için siber güvenlik gereksinimlerini belirleyen tüzük önerisine ilişkin görüşlerini kamuoyu ile paylaştı.
Siber güvenlik saldırı risklerini en aza indirgemek amacıyla Avrupa Birliği kapsamında yeknesak olarak uygulanacak olan siber güvenlik gerekliliklerini düzenlemek için tüzük önerisi yayımlanmıştır.
“Veri Korumanın Geleceği: Dijital Dünyada Etkili Uygulama” başlıklı EDPS konferansı raporu yayımlandı.
16-17 Haziran 2022’de gerçekleştirilen Veri Korumanın Geleceği: Dijital Dünyada Etkili Uygulama başlıklı EDPS konferansında yer alan söyleşiler, panel ve açılış konuşmaları, atölye çalışmaları bir rapor halinde yayımlandı.
Bkz. https://edps.europa.eu/system/files/2022-11/22-11-10-edps-conference-report-2022_en.pdf
ICO tarafından, yapay zekânın ve kişisel verilerin uygun ve yasal bir şekilde nasıl kullanılabileceği konusunda önerilerde bulunduğu çalışma yayımlandı.
Kısa ve anlaşılır bir biçimde hazırlanan çalışmada özellikle yapay zekânın geliştirilmesinde risk temelli yaklaşımın belirlenmesi, etkilenen bireylere yapay zekâ tarafından alınan kararların nasıl açıklanabileceği, önyargı ve ayrımcılık risklerinin erken bir aşamada değerlendirilmesi, yapay zekâ tarafından alınan kararların bir gerçek kişi tarafından gözden geçirilmesinin sağlanması gerektiği belirtildi.
Bkz. https://ico.org.uk/media/for-organisations/documents/4022261/how-to-use-ai-and-personal-data.pdf
Avrupa Komisyonu tarafından kısa vadeli konaklama kiralama hizmetleri aracılığı ile toplanan veriler ve bu verilerin paylaşımına ilişkin tüzük önerisi yayımlandı.
Yayımlanan tüzük önerisi ile kısa vadeli konaklama kiralama hizmeti sektöründe şeffaflığın teşvik edilmesi amaçlandı. Tüzük kapsamında ev sahipleri ve kısa vadeli konaklama mülkleri için uyumlaştırıcı kayıt gerekliliklerinin sağlanmasına, kayıt numaralarının görüntülenmesi ve kontrol edilmesinin sağlanması için kuralların belirlenmesine, çevrimiçi platformlar vekamu yetkilileri arasında veri paylaşımının kolaylaştırılmasına ilişkin öneriler yer aldı.
Bkz. https://ec.europa.eu/commission/presscorner/detail/en/IP_22_6493
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.