TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Vodatech Bilişim Proje Danışmanlık Sanayi ve Dış Ticaret Anonim Şirketi

Veri sorumlusu Vodatech Bilişim Proje Danışmanlık Sanayi ve Dış Ticaret Anonim Şirketi (“Vodatech”), sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenerek erişilemez duruma geldiğinden bahisle Kişisel Verileri Koruma Kurulu’na (“Kurul”) ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin 25.07.2023 tarihinde meydana geldiği ve 31.07.2023 tarihinde tespit edildiği,
• İhlalden etkilenen ilgili kişi grubunun çalışanlar, çalışanların aile yakınları, tedarikçiler, işortakları, müşteri çalışanları ve çalışan adayları olduğu,
• İhlalden etkilenen verilerin; Kimlik, İletişim, Özlük, Finans, Mesleki Deneyim verileri olduğu,
• İhlalden 9746 kişinin etkilendiği,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7675/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Vodatech-Bilisim-Proje-Danismanlik-Sanayi-ve-Dis-Ticaret-AS-

UPS Hızlı Kargo Taşımacılığı Anonim Şirketi, AgeSA Hayat ve Emeklilik Anonim Şirketi, Derimod Deri Konfeksiyon Pazarlama Sanayi ve Ticaret Anonim Şirketi, Oto Plan Operasyonel Taşıt Kiralama Ticaret Anonim Şirketi, YOYO Bilgi Teknolojileri ve Turizm Ticaret Anonim Şirketi, Gulf Sigorta Anonim Şirketi, Puma Spor Giyim Sanayi ve Ticaret Anonim Şirketi, Dagi Giyim Sanayi ve Ticaret Anonim Şirketi, Beşiktaş Sportif Ürünleri Sanayi ve Ticaret Anonim Şirketi

Yukarıda isimleri anılan veri sorumluları, Vodatech’in sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenmek suretiyle erişilemez hale geldiğinden bahisle, Kurul’a ihlal bildirimlerinde bulunmuştur. Yapılan bildirimlerde:

• İhlalden etkilenen ilgilikişi grubunun veri sorumlularının çalışanları ve müşterileri olduğu,
• İhlalden etkilenenverilerin; kimlik (ad soyad), iletişim (e-mail, telefon numarası), görsel veişitsel kayıt (ses, e-mail yazışmaları) verileri olduğu,
• Bazı veri sorumlularıbakımından ihlalden etkilenen kişi ve kayıt sayısının henüz belirlenemediği,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7684/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-UPS-Hizli-Kargo-Tasimaciligi-AS, https://www.kvkk.gov.tr/Icerik/7685/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-AgeSA-Hayat-ve-Emeklilik-AS, https://www.kvkk.gov.tr/Icerik/7686/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Derimod-Deri-Konfeksiyon-Pazarlama-Sanayi-ve-Ticaret-AS, https://www.kvkk.gov.tr/Icerik/7687/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Oto-Plan-Operasyonel-Tasit-Kiralama-Ticaret-AS, https://www.kvkk.gov.tr/Icerik/7688/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-YOYO-Bilgi-Teknolojileri-ve-Turizm-Ticaret-AS, https://www.kvkk.gov.tr/Icerik/7689/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Gulf-Sigorta-AS, https://www.kvkk.gov.tr/Icerik/7695/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Puma-Spor-Giyim-Sanayi-ve-Ticaret-AS,  https://www.kvkk.gov.tr/Icerik/7696/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Dagi-Giyim-Sanayi-ve-Ticaret-AS,  https://www.kvkk.gov.tr/Icerik/7697/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Besiktas-Sportif-Urunleri-Sanayi-ve-Ticaret-AS

Atatürk Üniversitesi

Veri sorumlusu Atatürk Üniversitesi, idari görevi olan personelin kullanıcı adı ve şifresi kullanılarak, kişisel verilere yetkisiz erişim sağlandığından ve öğrenci ve çalışan bilgilerinin görüntülendiğinden bahisle, Kurul’a ihlal bildirimlerinde bulunmuştur.

• İhlale konu kişisel verilerin T.C. kimlik numarası, ad, soyad, doğum tarihi, doğum yeri, aile sıra no, kütük sıra no, cilt sıra no, sistemde kayıtlı fiziki iletişim adresi, e-posta adresi, cep telefonu numarası, eğitim görmekte olunan birim bilgileri olduğu,
• 09.08.2023 tarihinde işlem günlüklerinde aşırı trafik olduğu,
• İhlalden etkilenen ilgili kişi sayısının yaklaşık 12.000 olduğu,
• İhlalden etkilenen ilgili kişi grubunun çalışanlar ve öğrenciler olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7694/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Ataturk-Universitesi

Diğer Gelişmeler

Seçilmiş Güncel Gelişmeler 21 ve 22 yayımlanmıştır.

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 21 ve 22” yayımlanmıştır.

Bkz.https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-21/

Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-22/

Kurul tarafından karar özetleri yayımlanmıştır.

Kurul, 14 Ağustos 2023 tarihinde,

• Bir özel sağlık kuruluşu tarafından sunulan sağlık hizmetinin açık rıza şartına bağlanması hakkında Kişisel Verileri Koruma Kurulunun 02/05/2023 tarihli ve 2023/692 sayılı Karar Özeti,
• “Bir hastanenin reklam ve tanıtım faaliyetleri kapsamında sağlık verileri de dahil kişisel verilerin işlenmesine ilişkin olarak hastalardan açık rıza almasının hukuka aykırı olduğuna yönelik ihbar hakkında” Kişisel Verileri Koruma Kurulunun 11/05/2023 tarihli ve 2023/787 sayılı Kararı

başlıklı iki adet karar özeti yayımlamıştır.

Bkz.  https://www.kvkk.gov.tr/Icerik/7693/Kisisel-Verileri-Koruma-Kurulu-nun-Yeni-Yayimlanan-Karar-Ozetleri

Kişisel Verileri Koruma Kurumu (“Kurum”), KVKK Bülteni yayımlamıştır.

Kurum’daki gelişmelerin takip edilmesinin kolaylaştırmak amacıyla Kurum, Ocak-Haziran 2023 dönemini kapsayan KVKK Bülteni yayımlamıştır.

Bkz. https://www.kvkk.gov.tr/Icerik/7673/KVKK-Bulten-in-Ilk-Sayisi-Yayimlandi

DÜNYADAKİ GELİŞMELER

Güncel Kararlar

AEPD, Vodafone España, S.A.U.'ya 56.000 € para cezası vermiştir.

Dolandırıcılık yapan üçüncü şahıslar, ilgili kişi gibi davranarak veri sorumlusu Vodafone España, S.A.U.’da kayıtlı bulunan telefon numarasını yeni bir telefon numarası ile değiştirmek istemiştir. Daha sonra dolandırıcılar bu yeni telefon numarasıyla da yeni bir cep telefonu satın almak istemiştir. Veri sorumlusu bu talebi yerine getirmiş ve telefon numarasının değiştirilmesine ilişkin sözleşmeyi yeni numaraya göndermiştir. Bu sayede ilgili kişinin kişisel verilerinin bir kısmı dolandırıcılar ile paylaşılmıştır. AEPD, soruşturması sırasında veri sorumlusunun dolandırıcıların kimliğini işlem sırasında doğrulamadığına ya da ilgili kişinin kişisel verilerini paylaşırken açık rıza almadığına kanaat getirmiştir. AEPD, başlangıçta veri sorumlusuna 70.000 € para cezası vermiş, gönüllü ödeme nedeniyle 56.000 €’ya düşürmüştür.

Bkz.https://www.enforcementtracker.com/ETid-1985 

AEPD, Odra Costas Internacional, S.L.'ye 6.000 € para cezası vermiştir.

İlgili kişi, açık rızası alınmaksızın reşit olmayan kızlarının fotoğraflarını internet sitesinde yayımladığı için veri sorumlusu Odra Costas Internacional, S.L. hakkında AEPD’ye şikayette bulunmuştur. Bu sebeple AEPD, başlangıçta veri sorumlusuna 10.000 € para cezası vermiş, gönüllü ödeme nedeniyle 6.000 €’ya düşürmüştür.

Bkz. https://www.enforcementtracker.com/ETid-1998

AEPD, Electraworks - Ceuta, S.A.'ye 6.000 € para cezası vermiştir.

Kişisel verileri işlenen ilgili kişi, kişisel verilerinin saklama süresini öğrenmek amacıyla veri sorumlusu Electraworks - Ceuta, S.A.’dan bilgi talep etmiştir. Fakat, veri sorumlusu saklama süresi hakkında hakkında yeterli bilgi sağlayamamıştır. Bu sebeple AEPD, başlangıçta veri sorumlusuna 10.000 € para cezası vermiş, gönüllü ödeme nedeniyle 6.000 €’ya düşürmüştür.

Bkz. https://www.enforcementtracker.com/ETid-1996

AEPD, Gymoogımnasıos S.L.'ye 10.000 € para cezası vermiştir.

Veri sorumlusu Gymoogımnasıos S.L., spor salonlarını kullanmak isteyen ilgili kişilerin sağlığa ilişkin özel nitelikli kişisel verilerinin işlenmesine açık rıza vermelerini gerektiren bir rezervasyon sistemi kurmuştur. AEPD, veri sorumlusunun kişisel verileri işleme amacıyla bağlantılı, sınırlı ve ölçülü bir şekilde işlenmediğine kanaat getirmiştir. Bu sebeple, veri sorumlusuna 10.000 €para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-1999

İsveç Veri Koruma Otoritesi (“IMY”), Trygg-Hansa'ya 3.000.000 € para cezası vermiştir.

Veri sorumlusu Trygg-Hansa, yaklaşık 650.000 müşterisinin sağlık, finans ve iletişim verilerinin sızdırılmasına sebep olmuştur. Söz konusu sızıntı Trygg-Hansa'dan bir e-posta alan bir kişinin, internet bağlantı linkini değiştirerek diğer müşterilerin kişisel verilerine kimlik doğrulaması olmadan erişebileceğini farketmesiyle ortaya çıkmıştır. IMY, bu ihlalin Ekim 2018'den Şubat 2021'e kadar iki yıldan fazla bir süredir devam ettiğini tespit etmiş ve veri sorumlusunun kişisel verileri korumak için gerekli teknik ve idari tedbiri almadığına kanaat getirmiştir. Bu sebeple, veri sorumlusuna ihlal süresini de dikkate alarak 3.000.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2021

Kamuoyu Duyuruları ve Haberler

Avrupa Veri Koruma Denetçisi (“EDPS”), finansal ve ödeme hizmetleri düzenlemelerinin taslaklarına ilişkin görüş metni yayımlamıştır.

Finansal verilere erişim imkanı veren tüzük taslağı ve ödeme hizmetlerine yönelik düzenlemelerin taslakları Avrupa Birliği’nin gündemini meşgul etmektedir. Söz konusu taslaklar, finansal veri paylaşımını teşvik eden ve gerçek veya tüzel kişilerin finansal verilerinin işlenmesine ilişkin taslaklardır. Taslaklarda ilgili kişilerin finansal kuruluşların elde ettiği verilere erişimi kısıtlayabileceği ya da erişebilir hale getirebileceği belirtilmiştir. EDPS, söz konusu taslakların Avrupa Birliği Genel Veri Koruma Tüzüğü’ne uygun olarak düzenlenmesi gerektiğini ifade etmiştir. Örneğin, ilgili kişilerin kişisel verilerinin kullanılacağı ürün, ödeme veya hizmet türü ve talep edilen veri türleri hakkında ilgili kişilerin finansal kuruluşlarca aydınlatılması gerektiğini belirtmiştir. Ayrıca EPDS özellikle,

• söz konusu taslaklardaki hükümler sebebiyle pek çok özel nitelikli verinin aktarılabilme ihtimalinden ötürü işlenebilecek kişisel veri türlerinin açıkça sınırlandırılmasını,
• profilleme yoluyla kişisel verilerin elde edilmemesini,
• ilgili kişilerin finansal verilerinin sosyal medya ağları gibi başka kaynaklardan elde edilen kişisel verilerle birleştirilmesinin sınırlandırılmasını

tavsiye etmiştir.

Bkz. https://edps.europa.eu/press-publications/press-news/press-releases/2023/financial-and-payment-services-use-personal-data-should-remain-proportionate-and-fair_en

On İki Veri Koruma Otoritesi ortak bildiri yayımlamıştır.

Aşağıda isimleri yer alan veri koruma otoriteleri ilgili kişilerin kişisel verilerinin sosyal medya sitelerinde gerçekleştirilen yasa dışı veri kazıma faaliyetlerine karşı, yani ilgili kişilerin sosyal medyada kişisel verilerini paylaştıkları amaçlarının dışında kişisel verilerinin kullanılmaması, kişisel verilerinin korunması için ortak bir bildiri yayınlamıştır. Veri koruma otoritelerinin ortak bildiri yayımlamaktaki amacının ilgili kişilerin siber saldırılarda istismar edilmesini engellemek ve dolandırıcıların kişisel verileri kullanmamasını sağlamak olduğu belirtilmiştir.

• Avustrulya Veri Koruma Otoritesi (OIAC)
• Kanada Veri Koruma Otoritesi
• İngiliz Veri Koruma Otoritesi
• Hong Kong, Çin Veri Koruma Otoritesi
• İsviçre Veri Koruma Otoritesi
• Norveç Veri Koruma Otoritesi
• Yeni Zelanda Veri Koruma Otoritesi
• Kolombiya Veri Koruma Otoritesi
• Jersey Veri Koruma Otoritesi
• Fas Veri Koruma Otoritesi
• Arjantin Veri Koruma Otoritesi
• Meksika Veri Koruma Otoritesi

Bkz.https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/08/joint-statement-on-data-scraping-and-data-protection/

Meta, Norveç Veri Koruma Otoritesi’nin (“Datatilsynet”) vermiş olduğu karara karşı ihtiyati tedbir kararı verilmesini talep etmiştir.

Temmuz ayı Kişisel Verileri Koruma Hukuku Güncel Gelişmeler’de yer verdiğimiz Datatilsynet’in kararında Meta’nın davranışsal reklamcılık uygulamasını 4 Ağustos'tan itibaren en az üç ay süreyle (ya da söz konusu reklamların Norveç hukukuna uygunluğu kanıtlanana kadar) yasaklanmıştır. Buna göre, Meta’nın bu uygulamaya devam etmesi halinde Meta’nın günlük yaklaşık 88.697 Euro para cezası ödeyeceği kararlaştırılmıştır. Meta ise söz konusu cezaya karşı ihtiyati tedbir alınmasını talep etmiştir ve ilgili kişilerden açık rıza alınmaya başlandığını belirtmiştir. Böylece, Meta para cezasının uygulanmamasını sağlamaya çalışmaktadır.

Bkz. https://ciso.economictimes.indiatimes.com/news/data-breaches/facebook-owner-meta-breaks-privacy-rules-norway-regulator-tells-court/103005316?utm_source=Mailer&utm_medium=newsletter&utm_campaign=etciso_news_2023-08-24&dt=2023-08-24

Çin Siber Uzay İdaresi, yüz tanıma teknolojisi ve diğer biyometrik verilerin toplanması ve kullanılmasına ilişkin hukuki düzenleme taslağı hazırlamaya başlamıştır.

Çin’de pek çok alanda yüz tanıma veya biyometrik veri kullanmasına rağmen ülkede biyometrik verilerin toplanması ya da kullanılması hukuki düzenlemelerle belirli kurallara bağlanmamıştır. Bu nedenle Çin Siber Uzay İdaresi’nin hazırladığı hukuki düzenleme taslağında, yüz tanıma teknolojisinin kullanılmasıiçin kişisel verinin işlenme amacı hakkında ilgili kişinin aydınlatılması veilgili kişilerin açık rızasının alınması zorunlu kılınacağı belirtilmiştir. Biyometrik verinin toplanması ya da kullanılmasına gerek olmayan hallerde yüz tanıma teknolojisi de ölçülülük ilkesi kapsamında yasaklanacağı düzenlenmiştir. Düzenlemelerin özellikle, ilgili kişilerin kişilik haklarının, sosyal düzenin ve kamu güvenliğinin korunması hedeflenmiştir.  

Bkz. https://www.legaltech-talk.com/china-drafts-rules-for-using-facial-recognition-data/