TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Reon Sağlık Hizmetleri İnş. Tur. San.ve Tic. A.Ş. (Özel Aktif Hastanesi)

Veri sorumlusu Reon Sağlık Hizmetleri İnş. Tur. San. ve Tic. A.Ş., personel ve muhasebe işlemleri için kullanılan bir programın şubeye kurulumu sırasında kısa süreli port açıklığı sebebi ile siber saldırıya uğramıştır. Bu doğrultuda, veri sorumlusu, veri ihlalini Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde:  

- Siber saldırı sonucunda program içerisinde yer alan verilerin silindiği,

- İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu,

- Çalışanlara ait ad-soyad, T.C.kimlik numarası, adres, fotoğraf, mesleki bilgiler ve kan grubu verilerinin; hastalara ait fatura bilgileri içerisinde yer alan ad-soyad bilgilerinin etkilendiği,

- Programın 2012 yılından beri kullanıldığı,

- Programın içerisinde tahmini olarak 2.000.000 kayıt bulunduğu

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7523/Kamuoyu-Duyurusu-Veri-

Ihlali-Bildirimi-Reon-Saglik-Hizmetleri-Ins-Tur-San-ve-Tic-A-S-Ozel-Aktif-Hastanesi-

Okko Sağlık Turizm İnşaat San. ve Tic.A.Ş. 

Veri sorumlusu Okko Sağlık Turizm İnşaat San. ve Tic. A.Ş., personel ve muhasebe işlemleri için kullanılan bir programın şubeye kurulumu sırasında kısa süreli port açıklığı sebebi ilesiber saldırıya uğramıştır. Bu doğrultuda, veri sorumlusu, veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde:  

- Siber saldırı sonucunda program içerisinde yer alan verilerin silindiği,

- İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu,

- Çalışanlara ait ad-soyad, T.C. kimlik numarası, adres, fotoğraf, mesleki bilgiler ve kan grubu verilerinin; hastalara ait fatura bilgileri içerisinde yer alan ad-soyad bilgilerinin etkilendiği,

- Programın 2012 yılından beri kullanıldığı,

- Programın içerisinde tahmini olarak 10.000 kayıt bulunduğu                       

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7522/Kamuoyu-Duyurusu-Veri-

Ihlali-Bildirimi-Okko-Saglik-Turizm-Insaat-San-ve-Tic-A-S-

Diğer Gelişmeler

Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında 2023 yılı için belirlenen idari para cezası tutarları yayımlandı.

KVKK’nın 18. maddesinde düzenlenen idaripara cezalarının 2023 yılı için belirlenen tutarları yayımlandı.

Bkz. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fcbcf082-1c32-4e53-af98-b90ac7aa298e.pdf

Seçilmiş Güncel Gelişmeler 13 yayımlandı.

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 13” yayımlandı.

Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-13/

AVRUPA BİRLİĞİ’NDEKİ GELİŞMELER

Güncel Kararlar

İrlanda Veri Koruma Otoritesi (“DPC”), Meta’nın Instagram ve Facebook kullanıcı verilerini reklamcılık amaçları doğrultusunda kullanılmasını yasakladı ve Meta’ya 390 milyon € idari para cezası uygulanmasına karar verdi.

Viyana’da kurulu kar amacı gütmeyen ve Avrupa Birliği’nde kişisel verilerin korunması amacıyla çalışmalar yürüten noyb, 25 Mayıs 2018 yılında Avrupa Veri Koruma Tüzüğü’nü (“GDPR”) ihlal etmesi sebebi ile Facebook, Instagram ve WhatsApp hakkında şikayette bulunmuştu. Ocak 2023 itibariyle 4,5 yıllık sürenin sonuna gelindi ve şikâyetler sonuçlandı.[1] DPC, Meta’nın davranışsal reklamcılık amacıyla kişisel verilerin işlemesinde hukuka uygun veri işleme faaliyeti gerçekleştirmediğine karar verdi. Ancak kararda tayin edilen idari para cezası tutarı, noyb tarafından yeterli olmadığı gerekçesiyle eleştirildi ve DPC’nin Meta’nın mevcut gelirinin tespit edilmesinde DPC’nin yetersiz kaldığı ifade edildi.

Bkz. https://dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland; https://noyb.eu/en/irish-data-protection-authority-gives-eu-397-billion-present-meta

DPC, WhatsApp’ın GDPR kapsamındaki birçok yükümlülüğünü yerine getirmemesi sebebi ile 5.5. milyon € idari para cezası uyguladı.

WhatsApp İrlanda GDPR’ın yürürlüğe girmesinin akabinde, kullanıcılarının WhatsApp hizmetinden faydalanmaya devam etmesini istemesi halinde, güncellenmiş Hizmet Şartlarını kabul etmelerini istemişti. Hizmet Şartları, reklamcılık hüküm ve koşullarına, güvenlik ve hizmetin iyileştirilmesinin sağlanmasına içermekteydi. Hizmet Şartlarını kabul etmeyen kullanıcılar, WhatsApp hizmetinden faydalanamayacaktı. WhatsApp İrlanda veri işleme faaliyetini sözleşmenin ifasına dayandırmaktaydı. Yapılan inceleme neticesinde DPC, veri sorumlusu olarak WhatsApp İrlanda’nın ilgili kişileri GDPR’ya uygun bir şekilde bilgilendirme ve veri işlemede şeffaflığın sağlanmasına ilişkin yükümlülüklerini yerine getirmediği ve açık rıza dışındaki başka veri işleme şartlarına dayanmasına rağmen açık rıza alması sebeplerine dayanarak WhatsApp’e 5.5 milyon € idari para cezası uyguladı. DPC’nin bukararı, noyb tarafından oldukça yoğun bir şekilde eleştiriye maruz kaldı. noyb, kişiselleştirilmiş reklam uygulamalarının da dâhil edildiği güvenlik ve hizmetin iyileştirilmesinin sağlanmasına ilişkin maddenin hüküm ve koşullara eklenmesinin ve bu durumun da sözleşmenin ifası sebebine dayandırılmasının GDPR’nin baypas edilmesine yol açtığını vurguladı. Öte yandan, 47 tane İlgili Denetleyici Otorite (“Concerned Supervisory Authorities” “CSA”) arasından 6’sı, kişiselleştirilmiş reklamların sunulması gerekçesiyle sözleşmenin ifasına dayanmasına izin verilmemesi gerektiği görüşünü benimsedi. DPC’nin verdiği bu kararın WhatsApp lehine yorumlanarak ele alındığı ve taslakkarar metin ile örtüşmediği belirtildi.

Bkz. https://dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-inquiry-whatsapp,https://noyb.eu/en/just-eu-55-million-whatsapp-dpc-finally-gives-finger-edpb

Fransız Veri Koruma Otoritesi (“CNIL”), akıllı telefonlar için video oyunları yayınlayan VOODOO’ya, kullanıcı izni olmaksızın reklam yapma amacıyla teknik bir tanımlayıcı kullanması sebebi ile 3 Milyon € idari para cezası uygulanmasına karar verdi.

iOS işletim sistemini kullanan Apple üzerinden video oyununun indirilmesi halinde “Satıcılar için Tanımlayıcı”(“IDFV”) teknik tanımlayıcısı aracılığı ile kullanıcı hareketleri izlenebilmektedir. Bir oyun uygulaması açılırken kullanıcıların akıllı telefonlarına indirdikleri uygulamalar üzerindeki hareketlerinin takibi amacıyla App Tracking Transparency (”ATT”) penceresini kullanıcılara sunarak veri işlenebilmesi için rızalarını alınmaktadır. CNIL tarafından yapılan inceleme neticesinde, VOODOO, kullanıcının ATT üzerine rıza vermemesi halinde reklam amacıyla izlemenin devre dışı bırakılacağına ilişkin kullanıcıları bilgilendirse de IDFV teknik tanımlayıcının VOODOO tarafından kullanılmaya devam edildiği anlaşıldı. Bu sebeple, CNIL, ilgili kişinin açık rıza olmaksızın reklam amacıyla IDFV teknik tanımlayıcı aracılığı ile kişisel veri işlemenin Fransız Veri Koruma Kanunu’nun ihlal ettiğine karar verdi ve VOODOO’ya 3 milyon€ idari para cezası uyguladı.

Bkz. https://www.cnil.fr/fr/mobile-games-cnil-fined-voodoo-3-million-euros

CNIL tarafından hukuka aykırı çerez kullanımı sebebi ile TikTok’a 5 milyon €

idari para cezası verildi.

CNIL tarafından yapılan incelemeneticesinde, i) kullanıcıların çerez kullanımını reddetmesine, kabuledilmesinde olduğu kadar kolay bir kullanım alanı sağlanmaması ii) çerez türlerinin amaçları doğrultusunda kullanıcılara yeterli bilgilendirme yapılmaması sebepleri doğrultusunda TikTok’un Fransız Veri Koruma Kanunu’nu ihlal ettiği tespit edildi. Kararda, çerez kullanımının kabul edilmesi tek bir tıkla mümkün iken tüm çerezlerin engellenmesi için birkaç tıklamanın gerekli olmasının kullanıcıları “tümünü kabul et” butonunu tıklamaya teşvik ettiği belirtildi. CNIL, söz konusu bu uygulamanın ilgili kişinin açık rıza verme özgürlüğünü ihlal edilmesine yol açması ve ilgili kişinin çerezlerin kullanım amaçları konusunda eksiksiz bir şekilde bilgilendirilmemesi sebepleri ileTikTok’a 5 milyon € idari para cezası verdi.

Bkz. https://www.cnil.fr/en/cookies-cnil-fines-tiktok-5-million-euros

Avrupa Veri Koruma Kurulu (“EDPB”), Çerez Bantlarına İlişkin Çalışma Grubu’nun hazırladığı taslak raporu yayımladı.

2021 yılından itibaren GDPR’a aykırı şekilde çerez kullanımı gerçekleştirilmesi sebebi ile noyb tarafından700’den fazla şikâyette bulunulmuştur. noyb’den gelen şikâyetleri ele almak amacıyla Çerez Bantlarına İlişkin Çalışma Grubu tarafından bir rapor oluşturuldu. Raporda, e-Gizlilik Direktifi ve GDPR düzenlemeleri kapsamında veri koruma otoritelerinin ortak görüşü yansıtılmıştır. noyb, taslak raporda bazı eksiklikler olsa da raporun uygulanması halinde veri koruma düzenlemelerinin minimum gereksinimleri karşılayabileceği görüşündedir.

Bkz. https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf; https://noyb.eu/en/data-protection-authorities-support-noybs-call-fair-yesno-cookie-banners

EDPB, 2022 Koordineli Uygulama Eylemi kapsamında kamu sektörü tarafından bulut tabanlı hizmetlerin kullanımınai lişkin rapor yayımlandı.

Ekim 2020’de EDPB, veri koruma denetçileri arasında uygulama ve işbirliğini kolaylaştırma amacıyla Koordineli Uygulama Çerçevesi oluşturulmuştu. 2021 yılında ise, 2022 yılı için kamu sektöründe bulut kullanımına ilişkin çalışma yürütülmesine karar verilmişti. Ocak2023 itibariyle Avrupa Ekonomik Bölgesi’nde yer alan 22 tane veri koruma denetçisinin çalışması ile rapor yayımlandı.

Bkz. https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf

CNIL, öğrenme veri tabanı üzerinde çalışılması amacıyla Yapay Zekâ Departmanı (“AID”) kurdu.

CNIL, yapay zekâya ilişkin Avrupa düzenlemelerin uygulanabilmesi amacıyla yapay zekâ sistemleri üzerindekiuzmanlığın geliştirilmesi ve mahremiyet risklerinin anlaşılması amacıyla içerisinde mühendislerin ve hukukçuların da yer aldığı AID’yi kurdu. Önümüzdeki haftalarda, AID’nin öğrenme veri tabanları hususunda ilk tavsiyesini vermesi bekleniyor.

Bkz. https://www.cnil.fr/en/cnil-creates-artificial-intelligence-department-and-begins-work-learning-databases

Avrupa İnsan HaklarıMahkemesi (“AİHM”), yeni teknolojiler kapsamında verilen karar özetlerinin derlendiği bilgi notunun güncellenmiş versiyonunu yayımladı.

AİHM, belirli aralıklarla yeni teknolojiler kapsamında verilen karar özetlerini derleyerek kamuoyu ile paylaşmaktadır. Bu güncellenmiş versiyonda ise, elektronik veri, e-posta, GPS, internet, mobil telefon, çevrimiçi taciz, radyo iletişim, uydu, telekomünikasyon, gizli kamera, video gözetim gibi konu başlıkları özelinde verilen kararları derledi.

Bkz. https://www.echr.coe.int/Documents/FS_New_technologies_ENG.pdf