TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

OSDS Su Arıtma Sistemleri Sanayi Ticaret Limited Şirketi

Veri sorumlusu OSDS Su Arıtma Sistemleri Sanayi Ticaret Limited Şirketi’nin müşterilerine üçüncü kişiler tarafından SMS göndermiştir. Mesajın dolandırıcılık saikiyle atıldığı düşünülmektedir. Bu sebeple, veri sorumlusu, Kişisel Verileri Koruma Kurulu’na (“Kurul”)’na ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• MAS GSM Haberleşme A.Ş.’nin veri sorumlusunun veri işleyeni pozisyonunda olduğu,Y
• Yetkisiz kişiler tarafından 45.228 adet SMS gönderildiği ve SMS gönderilen numaraların birçoğunun veri sorumlusunun müşterilerine ait olduğu,
• İhlalden etkilenen kişisel verilerin iletişim, lokasyon, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, pazarlama ve ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
• İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7616/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-OSDS-Su-Aritma-Sistemleri-San-Tic-Ltd-Sti

Bilge Adam Yazılım ve Teknoloji Anonim Şirketi

Veri sorumlusu Bilge Adam Yazılım ve Teknoloji Anonim Şirketi’ne karşı  oltalama (phishing) saldırısı gerçekleştirildiği ve üç çalışanının bilgisayarına erişildiği tespit edilmiştir. Ayrıca, saldırıyı gerçekleştirenler, çalışanların bilgisayarlarına fidye yazılımı yükleyerek bilgisayarlardaki dosyalara erişimi engellemiştir. Bu sebeple, veri sorumlusu Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

·               Yetkisiz erişim sağlanan bilgisayarlarda çalışan ve çalışan adaylarına ait verilerin tutulduğu,

·               İhlalden etkilenen kişisel verilerin ad, soyad, TC kimlik numarası ve işyeri sicil numarası olduğu,

·               İhlalden etkilenen kişive kayıt sayısının henüz tespit edilemediği,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7617/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Bilge-Adam-Yazilim-ve-Teknoloji-A-S-

Arçelik Anonim Şirketi

Veri sorumlusu Arçelik Anonim Şirketi’nin bünyesinde bulunan Arçelik BizBize isimli mobil uygulama ve internet sitesinde yer alan bayi ve yetkili servis çalışanlarının kişisel verileri yetkisiz kişilerce ele geçirilmiştir. Bu sebeple veri sorumlusu Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• Siber saldırının Arçelik BizBize mobil uygulama ve internet sitesinin yer alan bir tedarikçinin sistem üzerinden gerçekleştiğini,
• İlgili sistemlerin kod ve mülkiyet sahipliğinin veri işleyende bulunduğu, veri sorumlusunun yalnızca kullanım imkanına sahip olduğu bir modelle hizmet aldığı,
• Almanya’da görünen bir IP adresinden kişisel verilerin alındığının tespit edildiği,
• İhlalden etkilenen kişisel verilerin kimlik (ad, soyadı, TCKN, unvan, doğum tarihi, cinsiyet), iletişim (elektronik posta adresi, GSM numarası), İşlem Güvenliği (LDAP) (Lightweightdirectory access protocol) kodu (verinin tutulması ve erişim doğrulaması için kullanılan koddur) ve kullanıcı şifresi, kayıt ve güncelleme tarihi, son giriş tarihi, hesabının aktiflik durumu, cihaz modeli, versiyonu ve işletim sistemi bilgisi, uygulama versiyon bilgisi, bildirim izin durumu), diğer (sistem kapsamında, bayi ve yetkili servis çalışanlarının puan kazanım ve harcama bilgileri, uzmanlık, eğitim, işe başlama tarihi, ilgili kişinin şahsi bilgileri olmamakla beraber çalışmakta olduğu bayi ve mağazasının kodu, adı ve adresi) olduğu,
• Ele geçirilen veriler arasında ödeme ve finansal verilerin olmadığı,
• İhlalden etkilenen ilgili kişi sayısının tahmini 30.373 kişi olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7618/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Arcelik-A-S-

Tıp Evi Sağlık Hizmetleri Ticaret Limited Şirketi

Veri sorumlusu Tıp Evi Sağlık Hizmetleri Ticaret Limited Şirketi, anlaşmalı olduğu şirkete siber saldırı gerçekleşmesi sebebiyle veri ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

·               İhlalin 02.02.2023 tarihinde gerçekleştiği ve 17.04.2023 tarihinde tespit edildiği,

·               Söz konusu siber saldırı sonucu verilere ulaşılamadığı,

·               İhlalden etkilenen kişi sayısının ve ilgili kişi gruplarının henüz bilinmediği,

·               İhlalden özlük bilgileriile özel nitelikli kişisel verilerden olan sağlık verilerinin etkilendiği,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7623/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Tip-Evi-Saglik-Hizmetleri-Ticaret-Limited-Sirketi

Diğer Gelişmeler

Seçilmiş Güncel Gelişmeler 18-19 yayımlandı.

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 18-19” yayımlandı.

Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-18/,https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-19/

DÜNYADAKİ GELİŞMELER

Güncel Kararlar

Amerika Birleşik Devletlleri (“ABD”) Federal Ticaret Komisyonu (“FTC”),Microsoft’a 20.000.000 $ para cezası vermiştir.

FTC, Microsoft’un Çocukların Çevrimiçi Gizliliğini Koruma Yasası (“COPPA”)’nı ihlal ettiğine kanaat getirmiştir. Bu ihlalin sebebi Microsoft’un Xbox isimli oyun konsolunu kullanan 13 yaşından küçük ilgili kişilerin, geçerli bir şekilde rıza beyanında bulunamadıklarından, kişisel verilerinin işlenmesi için ebeveynlerinin rızalarının uygun şekilde alınmadığı olarak belirtilmiştir. COPPA’ya göre, ilgili kişinin 13 yaşından küçük olduğu durumlarda, ebeveynlerin aydınlatılmasıve kişisel verileri işlemeden önce ebeveynlerin rızalarının alınması gerekmektedir. FTC, Microsoft tarafından 13 yaşından küçük ilgili kişilerin ebeveynlerinin rıza göstermemesi durumunda bile kişisel verilerin işlendiğini ve toplanan kişisel verilerin imha edilmesi istendiğinde de bunların imha edilmediğini de tespitetmiştir.

Bkz. https://www.ftc.gov/news-events/news/press-releases/2023/06/ftc-will-require-microsoft-pay-20-million-over-charges-it-illegally-collected-personal-information?utm_campaign=ftc_will_require_microsof&utm_content=1686006701&utm_medium=social&utm_source=twitter 

Bkz. https://techcrunch.com/2023/06/06/microsoft-settle-ftc-collecting-childrens-data/ 

İspanyol Veri Koruma Otoritesi (“AEPD”), UPS İspanya’ya 84.000 € para cezası vermiştir.

Veri sorumlusu UPS İspanya, bir gerçekkişinin kargosunu, alıcı adresinde belirtilen ev adresine teslim etmek yerine başka bir adres olan mağaza adresine teslim etmiştir. İlgili kişi ev ve telefon adresinin üçüncü kişilerle paylaşıldığı gerekçesiyle veri sorumlusunu AEPD’ye şikayet etmiştir. AEPD, veri sorumlusunun kişisel verilerin muhafazasını sağlamak, verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli hertürlü teknik ve idari tedbirri almak zorunda olması gerektiğine kanaat getirmiştir. Bu sebeple, AEPD UPS İspanya’ya 140.000 € para cezası vermiştir. Fakat, AEPD, UPS İspanya’nın cezasını ihtiyari ödeme ve suçun itiraf edilmesisebebiyle 84.000 €’ ya düşürmüştür.

Bkz. https://www.enforcementtracker.com/ETid-1872

AEPD, Digi Spain Telecom, S.L.’ye 70.000 € para cezası vermiştir.

Bir kişi, SIM kartının kopyasını izinsiz olarak yetkisiz bir üçüncü kişiye verdiği için veri sorumlusu Digi Spain Telecom, S.L. hakkında AEPD'ye şikayette bulunmuştur. AEPD soruşturması sırasında veri sorumlusunun, üçüncü şahsın kimliğini doğrulamadan veya verilerini paylaşmak için ilgili kişinin onayını almadan SIM kartının kopyasını verdiğini tespit etmiştir. SIM kartının kopyasının dolandırıcıların eline geçmesiyle dolandırıcıların veri sahibinin banka hesabına erişmesine ve yetkisizişlemler yapmasına sebep olmuştur. Benzer içerikteki olaydan ötürü veri sorumlusu hakkında üç farklı karar verilmiştir. Verilen cezaların toplamı 210.000 €’dur.

Bkz. https://www.enforcementtracker.com/ETid-1880, https://www.enforcementtracker.com/ETid-1881, https://www.enforcementtracker.com/ETid-1882

İsveç Veri Koruma Otoritesi (“IMY”), Spotify’a 4.900.000 € para cezası vermiştir.

Hem Bits of Freedom tarafından dava edilenhem de noyb tarafından şikayet edilen ve dava edilen Spotify hakkında soruşturma başlatılmıştır. Soruşturmada Spotify’ın ilgili kişi haklarına ilişkin yeterli uyumluluğu sağlamadığı tespit edilmiştir. Örneğin,  ilgili kişilerin verilerinin yurtdışına aktarılıp aktarılmadığı hakkında bilgi verememiştir. Ayrıca, Spotify teknik bilgilerin yer aldığı ve zor anlaşılan aydınlatmayı yalnızca İngilizce dilinde yapmıştır. Dolayısıyla bu durum, ana dili İngilizce olmayan ilgili kişilerin aydınlatma metnini tam manasıyla anlayamamalarına sebep olmuştur Bits of Freedom ve noyb’un davaları birleştirilmiş olup halen görülmektedir. 

Bkz. https://noyb.eu/en/spotify-fined-eu-5-million-gdpr-violation 

Bkz. https://www.enforcementtracker.com/ETid-1876

Fransız Veri Koruma Otoritesi (“CNIL”), KGCOM’a 150.000 € para cezası vermiştir.

Veri sorumlusu KG COM, mesaj veya telefonyoluyla müşterilerine falcılık hizmeti sunan bir şirkettir. Birçok kişisel veriye maruz kalan şirketin kişisel verileri herhangi bir kanuni dayanağı olmadan depoladığı tespit edilmiştir. Bunlar, müşteriler ve potansiyel müşterilerle yapılan görüşmelerin kayıtları, banka hesap bilgileri, özel nitelikli kişisel verilerinden sağlık ve cinsel yönelime ilişkin kişisel verilerdir. Aynı zamanda KG COM bir veri sorumlusu olarak alması gereken yeterli önemleri almamış ve veri ihlali bildiriminde bulunması gerekirken CNIL’ e herhangi bildirimde bulunmamıştır.  Bu sebeplerle, veri sorumlusuna 150.000 € para cezası verilmiştir.

Bkz. https://www.enforcementtracker.com/ETid-1891

CNIL, Criteo’ya 40.000.000 € para cezası vermiştir.

Veri sorumlusu Criteo, reklam ve internet sitesini ziyaret edenlerin site içerisindeki hareketlerini çerezler sayesinde izleyerek kişiye özel reklam yayımlayan bir şirkettir. CNIL, veri sorumlusu hakkındaki soruşturmasında veri sorumlusunun site ziyaretçilerinin site içerisindeki hareketlerini rıza almadan izlediğini tespit etmiştir. Buna ek olarak, kişisel verileri işleme amaçlarının tümünün aydınlatma metninde belirtilmemesi ve belirtilen amaçlar arasında da net olarak ifade edilmeyen hususlar olması sebebiyle aydınlatma metninin eksik olduğuna kanaat getirilmiştir. Ayrıca, internet kullanıcıları kişisel verilerinin silinmesini istediklerinde veri sorumlusunun kişisel verileri silmediği tespit edilmiştir. Son olarak, veri sorumlusu ile ortak veri sorumlusu arasında yapılan sözleşmede eksiklikler olduğu belirlenmiştir. Buna göre, CNIL ceza miktarını belirlerken söz konusu durumdan etkilenen kişi sayısını da göz önünde bulundurarak veri sorumlusuna 40.000.000 € para cezası vermiştir.

Bkz. https://noyb.eu/en/advertising-company-criteo-fined-eu40-mio

Kamuoyu Duyuruları

Büyük Britanya ve ABD arasında veri aktarımına ilişkin anlaşma imzalanacağı duyurulmuştur.

Büyük Britanya ve ABD’nin yayınladığı ortak bildiriye göre iki ülke arasında veri akışını güvenli bir şekilde sağlamak ve kolaylaştırmak amacıyla bir “veri köprüsü” kurulması amaçlanmıştır. Söz konusu köprünün kurulması için Avrupa Birliği (“AB”) ve ABD arasında gizliliğe ilişkin hükümlerin düzenlendiği ABD-AB Veri Gizliliği Çerçeve Anlaşması’ndan (“DPF”) yola çıkılmıştır. Günümüzde verinin artık ticari ilişkilere konu olduğu düşünüldüğünde bu anlaşma, Büyük Britanya ve ABD arasındaki ticari ilişkilerin hızlanacağını da göstermektedir. Hatta böylelikle özellikle ABD’de bulunan uluslararası şirketlere veri akışının daha kolay bir şekilde sağlanması beklenmektedir. Ayrıca, bütün dünya üzerinde veri tedavülünün daha hızlı birşekilde gerçekleşmesinin temelleri atılmıştır.

Bkz. https://www.gov.uk/government/news/uk-and-us-reach-commitment-in-principle-over-data-bridge

Zoom, kişisel verilerin ABD’ye aktarılmasına ilişkin yeni önlemler almıştır.

AB’de toplanan kişisel verileri ABD’ye aktardığı için Meta’ya verilen ceza sonrasında Zoom yeni önlemler almıştır. Bu yeni önemlere göre, Zoom, Avrupa Ekonomik Alanı'nda (“AEA”) Zoom’a ücret ödeyen ilgili kişilerin kişisel verilerini AEA içinde tutma imkanı tanınmıştır. Sadece bireysel ve istisnai durumlarda kişisel verilerin ABD’de bulunan ekiplerle paylaşacağı ifade edilmiştir. Fakat, bu önlem yalnızca Zoom’a ücret ödeyen ilgili kişiler için getirildiğinden Zoom’u ücretsiz olarak kullanan ilgili kişilerin kişisel verileri hakkında bir koruma getirilmemiştir. Bu sebeple ileride Zoom’un bu noktada eleştirileceği ya da bu önlemin yargı kararlarına konu olacağı beklenmektedir.

Bkz. http://bit.ly/3Xqgzrj