TÜRKİYE’DEKİ GELİŞMELER
İhlal Bildirimleri
MongoDB Limited
Veri sorumlusu MongoDB Limited, bazı çalışan hesaplarına bilinmeyen üçüncü kişiler tarafından erişim sağlanması ve bu erişim sonucunda bazı müşterilerin kişisel verilerine erişilmesiyle veri ihlalinin gerçekleştiği yönünde Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirimde bulunmuştur. Yapılan bildirimde:
- İhlalin 13.12.2023’te tespit edildiği,
- İhlalden Türkiye’den 130.00 ile 160.000 arasında kullanıcının etkilenmiş olabileceği,
- İhlalden etkilenen ilgili kişi gruplarının müşterileriler olduğu,
- İhlalden etkilenen kişisel veri kategorilerinin:
- CRM uygulamasında yer alan hitap, ad, soyad, unvan, hesap no, şirket adı, adres, telefon numarası gibi müşteri verileri,
- Müşteri Destek uygulamasında yer alan e-posta adresi, benzersiz kullanıcı ID, alternatif e-posta gibi müşteri verileri,
- Ayrıca, MFA için kullanılan telefon numarası, MFA için kullanılan alternatif telefon numarası gibi verilerin olduğu
belirtilmiştir.
Diğer Gelişmeler
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 27.12.2023 tarihinde 31 adet yeni karar özeti yayımlanmıştır.
Kurum’un internet sitesinde, geçtiğimiz yılda verilmiş olankararlara ait özetler erişime açılmıştır.
Kurum tarafından “Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler” rehberi yayınlanmıştır.
Kurum, akıllı telefon ve tabletlerdeki veri işleme faaliyetlerinin önemini vurgulayan rehberinde ilgili kişi ve veri sorumlularına tavsiyelerde bulunmaktadır. Kurumun ilgili kişilere verdiği bazı tavsiyeler aşağıdaki gibidir:
- Uygulama indirilmeden önce kaynağı iyice araştırılmalıdır. Uygulamaya verilen erişim izinleri kontrol edilmelidir.
- Kullanıcılar farklı uygulamalar için farklı güçlü parolalar tercih etmelidir.
- İhtiyaç olmayan uygulamalar, mobil cihazlardan kaldırılmalıdır.
Kurumun veriişleyenlere verdiği bazı tavsiyeler aşağıdaki gibidir:
- Genel ilkelere uygun şekilde veri işlenmelidir.
- İlgili kişilerin uygulamanın kullanımına yönelik bilinçli karar verebilmesi için şeffaflık sağlanmalıdır.
Bkz. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/8ba209bb-fa93-4479-84f0-dd55aac97a0f.pdf
Anayasa Mahkemesi (“AYM”) Kurum’un tahsis ettiği idari para cezalarına itirazların ilkderece mahkemeleri tarafından yetersiz olarak incelendiğine kanaat getirmiştir.
AYM’ye sulh ceza mahkemesinin idari para cezasına itirazın reddi kararını yeterince gerekçelendirilmemiş olması sebebiyle bireysel başvuruda bulunulmuştur. AYM, idari para cezalarını Anayasa’nın 35. maddesinde düzenlenen mülkten yoksun bırakma ve mülkiyet hakkına müdahale içerdiğine kanaat getirmiştir. Ayrıca, AYM bu müdahalenin ancak Anayasa’nın 13. maddesinde düzenlenen ilkeler nezdinde gerçekleştirilebileceğini belirtmiştir. Bu nedenle, karara konu sulh ceza mahkemelerinin Anayasa’nın 13. maddesi kapsamında değerlendirilen ölçülülük ilkesini dikkate almayarak gerekçeli karar vermemesini mülkiyet hakkının ihlali olarak değerlendirmiştir.
Seçilmiş Güncel Gelişmeler 28 ve 29 yayımlanmıştır.
Kurul tarafından yürütülen Toplumsal Farkındalık ve BilinçlendirmeKampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 28” ve“Seçilmiş Güncel Gelişmeler 29” yayımlanmıştır.
Bkz.https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-28/, https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-29/
DÜNYADAKİ GELİŞMELER
Güncel Kararlar
İzlanda Veri Koruma Otoritesi (“Persónuvernd”), Reykjavik, Kópavogur ve Hafnarfjörður şehirlerine toplamda 51.900 € para cezası vermiştir.
Persónuvernd, Google Education’ın veri sorumlusu olan Reykjavik, Kópavogur ve Hafnarfjörður şehirlerindeki okullarda kişisel verilerin korunmasına yönelik mevzuata uyulmadan kullanıldığını tespit etmiştir. Buna göre veri sorumlularının kişisel verileri belirlenen amaçlarla sınırlı olarak işlemediğine, bu nedenle veri sorumlularının kişisel verileri korumak için uygun teknik ve idari tedbirleri almadığına kanaat getirmiştir. Ayrıca Persónuvernd, veri sorumlularına ceza verirken çocukların hassas verilerinin korunmasının önemini de göz önünde bulundurmuştur. Persónuvernd; Reykjavik şehrine 13.300 €,Kópavogur şehrine 20.000 € ve Hafnarfjörður şehrine18.600 € idari para cezası verilmesini uygun görmüştür.
Birleşik Krallık Veri Koruma Otoritesi (“ICO”), Bank of Ireland UK’i kişisel verilerin doğruve güncel tutulması ilkesine aykırı davranışları sebebiyle kınamıştır.
Veri sorumlusu Bank of Ireland UK, 3.000’den fazla müşterinin verisinin doğru ve güncel olmaması sebebiyle kişilerin kredi alma ve kredi kartı limit artırımıgibi haklardan faydalanamamasına sebep olmuştur. Uğranılan zararın tam olarak tespit edilememesiyle birlikte veri sorumlusunun yapmış olduğu hatayı düzeltmek için attığı adımlar göz önüne alındığında idari para cezası verilmemesine karar verilmiştir.
Bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/12/bank-of-ireland-uk-reprimanded-for-inaccurate-data-on-customers-accounts/
Norveç Veri Koruma Otoritesi (“Datatilsynet”), Norveç Çalışma ve Sosyal Yardım İdaresi’ne (“İdare”) 1.700.000 € para cezası vermiştir.
Veri sorumlusu İdare’nin bilişim teknolojileri sistemleri bakımından güvenlik açıklarının olduğu ve uygulanan yetki matrisinin yetersiz olduğu tespit edilmiştir. Söz konusu veri güvenliği açığının uzun süredir devam ettiği, bu nedenle Datatilsynet, veri sorumlusuna kişisel verilerin korunmasına yönelik uygun güvenlik düzeyini temin etmeye ilişkin uygunteknik ve idari önlemleri almadığına kanaat getirmiştir. Datatilsynet söz konusu verilerin hassasiyetini ve ihlalin süresini gözönüne alınarak veri sorumlusuna 1.700.000 € değerinde para cezası vermiştir.
ICO, Savunma Bakanlığı’na 350.000 £ para cezası vermiştir.
20 Eylül 2021 tarihinde veri sorumlusu Savunma Bakanlığı, Afganistan’dan tahliye talebinde bulunan 245 kişinin e-posta adreslerini, buradaki bazı kişilerin fotoğraflarını ve isimlerini, e-posta gönderirken Gizli CC (BCC) yerine Kime (To) kısmını kullanarak veri ihlalinde bulunmuş ve yetkisiz kişilerin erişimine neden olmuştur. ICO, söz konusu veri ihlalinden dolayı Savunma Bakanlığı’na 350.00 € değerince para cezası vermiştir. Ayrıca, e-posta üzerinden kişisel veri içeren bilgiler iletilirken BCC gibi metotlara güvenmek yerine toplu e-mail uygulamaları gibi güvenlik yöntemlerinin kullanılmasını tavsiye etmiştir.
Rumen Veri Koruma Otoritesi (“ANSPDCP”), Hora Credit IFN SA'ya 24.000 € para cezası vermiştir.
Veri sorumlusu Hora Credit IFN SA, bir müşterisine başka bir kişiye ait kişisel verilerin yer aldığı e-posta ile göndermiştir. Müşteri hatayı veri sorumlusuna bildirmesine rağmen, e-postalar yanlış e-posta adresine gönderilmeye devam etmiştir. Veri sorumlusu ayrıca ilgili kişinin verilerine erişim talebine zamanında yanıt vermemiştir. ANSPDCP, soruşturması sırasında, veri sorumlusunun kişisel verilerini korumak için uygun teknik ve idari tedbirleri almadığına, ihlali ANSPDCP’ye zamanında bildirmediğine kanaat getirmiştir. Bu nedenle, ANSPDCP veri sorumlusuna 24.000 € para cezası vermiştir.
ANSPDCP, VerandaObor S.A.'ya 3.000 € para cezası vermiştir.
Veri sorumlusu Veranda Obor S.A., Bükreş’te bulunan biralışveriş merkezini işletmektedir. Veri sorumlusu kendi internet sitesinde çekilişe katılan ilgili kişilerin isim, soyisim, e-posta adresi vb. kişisel verilerini açıklamıştır. Soruşturma sırasında ANSPDCP veri sorumlusunun kişisel verilerin korumak uygun teknik veidari tedbirleri almadığına kanaat getirmiştir. Bu nedenle, ANSPDCP veri sorumlusuna 3.000 € para cezası vermiştir.
Kamuoyu Duyuruları ve Haberler
noyb, X (Twitter) hakkında Hollanda Veri Koruma Otoritesi’ne (“AP”) şikayette bulunmuştur.
noyb, X kullanıcılarının siyasi ve dini görüşlerini içeren özel nitelikli verilerin kişiselleştirilmiş reklamlar için kullanılmasının Avrupa Birliği Genel VeriKoruma Tüzüğü (“GDPR”)ve Avrupa Birliği Dijital Hizmetler Yasası (“DSA”) yükümlülüklerine aykırı olduğunu ileri sürmüştür ve AP’ye konu ile ilgili şikayette bulunmuştur. Öncesinde Avrupa Birliği Komisyonu (“Komisyon”) hakkında da şikayette bulunan noyb, X platformu üzerinden reklam yoluyla Avrupa Birliği Yasa Önergesi’nin kişilerin karşısına çıkartılmasının hukuksuz olduğunu belirtmiştir.
Yapay Zekâ Yasası (AI Act) hakkında mutabakata varılmıştır.
Avrupa Birliği Konseyi ve Avrupa Birliği Parlamentosu (“Parlamento”) tarafından yapılan görüşmeler sonucunda Yapay Zekâ Yasası hakkında görüş birliğine varılmıştır. İlerleyen günlerde tarafların metni resmi olarak onaylanması ile birlikte geçerlilik kazanacağı aktarılmıştır.
Yasa metninde:
- Genel amaçlı yapay zekâlar hakkında kitedbirlerüzerine anlaşılmıştır.
- Kolluk görevlileri tarafından yapay zekâ kullanılarak biyometrik veri işlenmesinin sınırları çizilmiştir.
- Tüketicilerin kendileri hakkında yapılan işlemler hakkında şikayette bulunma ve gerekçeli cevap alma hakkıdüzenlenmiştir.
- 35 milyon € veya küresel gelirin %7’sine tekabüleden ceza sınırları üzerine anlaşılmıştır.
Bkz. https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai
Parlamento ve Komisyon, sosyal medya uygulamalarının bağımlılık yapıcı tasarımlar hakkında hukuki düzenleme getirilmesinin önemi vurgulanmıştır.
Parlamento ve Komisyon bağımlılık yapan “sınırsızkaydırma, kendiliğinden oynatma, süreklianlık bildirimler” gibi uygulamaların düzenlenmesi gerektiğini bildirmiştir. Parlamento, tüketici koruma metotlarının şirketlerin kârını artırmayacak olsada geliştirilmesi gerektiğini belirtmiştir. Tasarımsal olarak etik (Ethicalby design) ilkesinin tüketicilerin zihinsel sağlığına da pozitif yönde etkisi olabileceğini ileri süren Parlamento, bildirimlerin varsayılan ayar olarak kapalı gelmesinin ve diğer kullanıcı tecrübesi geliştirmelerinin en kısa sürede düzenlemesi gerektiği görüşünü savunmaktadır.
Avrupa Veri Koruma Kurulu (“EPDB”), Çerez Taahhüdü İnisiyatifi (“İnisiyatif”) hakkında olumlu görüş vermiştir.
Komisyon tarafından hazırlanan İnisiyatif, rıza yorgunluğu tartışmaları üzerinehazırlanmıştır. İnisiyatif, işletmelerin gönüllü olarak uygulayabileceği çerez kabul mekanizmaları hakkında kurallar içermektedir. Komisyon, 10 Kasım 2023 tarihinde EPDB’ye İnisiyatif’in GDPR’a uyumlu olup olmadığı hakkında soru yöneltmiştir. EDPB, İnisiyatif’i uyumlu gördüğü yönünde görüş bildirmiştir. İnisiyatif’te kullanıcıların kabul ettiği çerezler hakkında daha detaylı bilgilendirilmesi ve çerezlerin reddedilmesi halinde 1 yıl boyunca tekrar rıza sorulmaması öngörülmüştür.
Avrupa Birliği Adalet Divanı (“Divan”), GDPR üzerine idari para cezalarının incelenmesine yönelik açıklamalarda bulunmuştur.
Almanya ve Litvanya mahkemeleri GDPR’ın özellikle 83.maddesinin açıklanması üzerine Divan’a başvuruda bulunmuşlardır. Divan, başvuruya ilişkin kararında, veri sorumlusuna cezanın ancak ihmal yoluyla veya kasten işlendiğinde verilebileceğini belirtmiştir. Divan, veri işleyenin faaliyetleri bakımından da veri sorumlusunun belirli ölçülerde sorumlu olabileceğini vurgulamıştır. Ayrıca Divan, idari para cezalarının belirlenmesinde rekabet hukukundaki “teşebbüs” anlayışının uygulanması gerektiğini açıklamıştır.
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.