TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Marifet Saatçilik Kuyumculuk Tekstil Turizm Gıda İnş. Taah. San. ve Tic. Ltd. Şti.

Veri sorumlusu Marifet Saatçilik Kuym. Teks. Tur. Gıda İnş. Taah. San. ve Tic. Ltd. Şti., müşterilerine mesaj göndermek için kullandığı uygulamada bulunan verilerin yetkisiz kişiler tarafından elde edilmesiyle bir ihlalin gerçekleşmiş olduğunu Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde:  

·               İhlalin 07.03.2023 tarihinde başladığı ve08.03.2023 tarihinde sona erdiği,

·               İhlalin 1.513.947 kişiye SMS gönderilmesi sonucunda gerçekleştiği,

·              Veri sorumlusunun uygulamada kayıtlı 66.000 müşterisinin bulunduğu bu sebeple SMS gönderilen telefon numaralarının uygulamayı ele geçiren kişiler tarafından sisteme yüklenildiğinin düşünüldüğü,

·               İhlalin müşterilerin yaptığı geri dönüşler sonucu tespit edildiği,

·               İhlalden etkilenen kişisel veri kategorisinin iletişim bilgisi olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7541/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Marifet-Saatcilik-Kuym-Teks-Tur-Gida-Ins-Taah-San-ve-Tic-Ltd-Sti-

Akbank T.A.Ş.

Veri sorumlusu Akbank T.A.Ş. (“Banka”) tarafından müşterilerinin hesap açılış işlemleri için oluşturulan bir projenin kodunun yazımı sırasında mail adresi değişkeninin dinamik yazılması gerekirken statik yazılması sebebiyle ihlalin gerçekleştiğini Kurul’a bildirmiştir. Yapılan bildirimde:

·          27.08.2022 ile 18.10.2022 tarihleri arasında hesap açılışı gerçekleştirilen bazı müşterilere ait elektronik hesap cüzdanlarının, bu müşteriler yerine hata ile yine Banka müşterisi olan 20 adet tüzel kişi müşteriye (her birine farklı sayılarda) gönderildiği,

·           İhlalden 5.847 banka müşterisinin etkilendiği,

·           İhlalden etkilenen kişisel verilerin; kimlik, müşteri işlem ve finans kategorileri dahilinde; ad ve soyad, T.C. kimlik numarası, müşteri numarası, vergi dairesi, bireysel bankacılık hizmet sözleşmesi numarası ve tarihi, hesap numarası, şube adı, döviz kodu, IBAN, ürün adı, faiz oranı, açılış ve vade tarihi ile hesap açılış tutarı bilgileri olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7542/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Akbank-T-A-S

Kurul Kararları

Kurul’un 2023/134 sayılı TikTok Pte. Ltd. (“Tiktok”) Hakkındaki Karar Özeti

Kurul, Tiktok hakkında açık rızanın 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) uygun alınmadığı, kişisel verilerin elde edilmesi ve saklanması hususunda hukuka aykırılıkların bulunduğu ve yazılıma ait birçok güvenlik açığı olduğuna ilişkin birçok şikâyet almıştır. Bu doğrultuda, şikâyet üzerine KVKK m.15 uyarınca, re’sen inceleme başlatılmıştır. İncelemeler sonucunda Kurul,

·          2021 Ocak ayında Gizlilik Politikasında güncelleme yapıldığı; güncelleme öncesinde hassas yaş grubunda (13-15 yaş) olan kullanıcıların profillerinin herkese açık olarak görüntülenebildiği ve dolayısıyla verilerine erişilmesi riskinin mevcut olduğuna ve Tiktok’un bu riskin azaltılması için yeterli tedbir alınmadığına,

·          2021 Ocak ayından önce yapılan güncelleme öncesinde 13 yaş altı çocukların kişisel bilgilerinin görüntülendiğine ve çocuklar hakkında uygun ebeveyn izni olmadan veri toplandığına, bu nedenle çocuklar bakımından olumsuz sonuç doğma riskinin bulunduğuna,

·          İşleme şartlarının belirtilmesine rağmen hangi kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiğine dair net bilgi verilmediğine, bu nedenle Tiktok’un KVKK m. 4’te belirtilen kişisel verileri işlenmesine ilişkin ilkelerde yer alan "belirli, açık ve meşru amaçlar için işlenme" ve "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine aykırı hareket ettiğine,

·          Tİktok’un hesap oluşturulurken kabul edilmiş sayılan Hizmet Koşulları metninin Türkçe olmaması nedeniyle içeriğin kolay anlaşılır bir biçimde sunmadığına bu nedenle, kullanım şartlarını tam olarak anlamadan kabul ettiğine,

·          Gizlilik Politikasının aydınlatma metni veaçık rıza metni yerine kullanıldığına ve açık rızanın Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ m.5/f’e aykırı olarak kişisel veri işleme faaliyetleri bakımından aydınlatma yükümlülüğünden ayrı olarak yerine getirilmediğine,

·          Tiktok’un profilleme amacıyla çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetinin açık rıza alınmadan gerçekleştirilmesi nedeniyle yürütülen kişisel veri işleme faaliyetinin de hukuka uygun olmadığına,

kanaat getirmiştir.

Bu sebeplerle Kurul,

·          KVKK m. 18/1-b uyarınca, Tiktok’un KVKK m. 12’de öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmemesi sebebiyle1.750.000 TL idari para cezası uygulanmasına,

·           Hizmet Koşullarının bir ay içerisinde Türkçeye çevrilmesine,

·           Gizlilik Politikası metinlerinin üç ay içerisinde KVKK’ya uygun hale getirilmesine,

·           KVKK m. 10 ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapılmasına,

karar vermiştir.

Diğer Gelişmeler

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Seçim Faaliyetlerinde Kişisel Verilerin Korunması İçin Siyasi Partiler ve Bağımsız Adaylar Hakkında Bilgi Notu yayımlandı.

Söz konusu bilgi notunda Kurum tarafından seçim faaliyetleri (seçmen kütüğünün düzenlenmesi, güncellenmesi, askıya çıkartılması, aday adaylığı, aday gösterme, kesin aday listelerinin ilanı, seçim propagandası, kamuoyu araştırmaları, oy verme vb.) nedeniyle kamu kurumlarının ve siyasi partilerin kişisel verilerin işlemesi zorunlu ve kaçınılmaz olduğundan bu durumlara örnekler verilerek bilgilendirme yapılması amaçlanmıştır.

Bkz. https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/3e5078f9-edc3-4d57-be2c-dec836ecaba9.pdf

Seçilmiş Güncel Gelişmeler 16 yayımlandı.

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 16” yayımlandı.

Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-16/

Avukatların da vekaleten Kurul’a elektronik ortamda şikayette bulunabileceğine ilişkin Kamuoyu Duyurusu yayımlanmıştır.

“Şikayet Modülü” sistemi daha önceleri yalnızca ilgili kişilerin şikayette bulunabileceği bir kanal iken Kurum tarafından yayımlanan Kamuoyu Duyurusu ile, Kurul’a yapılacak şikayetler 27.03.2023 tarihi itibariyle artık vekaleten avukatlar tarafından da yapılabilecek şekilde güncellenmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7544/Vekaleten-Yapilacak-Sikayetlerin-Elektronik-Ortamda-Kurula-Iletilmesine-Iliskin-Kamuoyu-Duyurusu

DÜNYADAKİ GELİŞMELER

Güncel Kararlar

Avusturya Veri Koruma Otoritesi (“DSB”), Meta’nın kullanıcı takibine yarayan kodlarını Avrupa Veri Koruma Tüzüğü’ne (“GDPR”) ve sözde Schrems II kararına aykırı olduğuna karar vermiştir.

Viyana’da kurulu kar amacı gütmeyen ve Avrupa Birliği’nde (“AB”) kişisel verilerin korunması amacıyla çalışmalar yürüten noyb, Meta’nın kullanıcı takibine yarayan Facebook’un takip eklentileri ve Google Analtiycs hakkında 101 adet şikayette bulunmuştur. DSB, kullanıcıların aktivitelerini reklam amaçlı takibe yarayan Meta’nın Facebook Login ve Meta Pixel eklenti ve kodlarının kullanılmasıyla kullanıcıların verilerinin ABD’ye aktarılmasının söz konusu olduğundan bahisle bu araçların GDPR’a ve Avrupa Adalet Divanı’nın (“CJEU”) 2020 yılında vermiş oluğu olan Schrems II kararına aykırı olduğuna karar vermiştir. Sözkonusu durumun bütün AB ülkeleri bakımından dikkate alınması gerektiği ifade edilmiştir. Zira, AB’de pek çok websitesi reklam ve pazarlamalarını bu kod ve eklentiler sayesinde yapmaktadır. Bu noktada dikkat çeken diğer bir husus ise DSB’nin şu ana kadar bu ihlal kapsamında bir GDPR uyarınca herhangi bir para cezası vermemiştir.

Bkz. https://noyb.eu/en/austrian-dsb-meta-tracking-tools-illegal 

İrlanda Veri Koruma Otoritesi (“DPC”), Bank of Ireland’a (“Banka”) 750.000 € para cezası vermiştir.

Banka, Ocak – Mayıs 2020 dönemi boyunca DPC’ye 10 ayrı veri ihlali bildiriminde bulunmuştur. Söz konusu veri ihlallerinin bir kısmı Banka’nın sistemlerindeki bir hatadan, bir kısmı ise Banka çalışanlarının prosedürleri düzgün şekilde uygulamamasından kaynaklanmıştır. Bu ihlaller kapsamında yetkisiz kişiler ve Banka müşterilerinin hesaplarına erişmiştir. DPC’ye göre, ihlallerin sebebi Banka’nın kişisel verileri korumak için uygun teknik ve organizasyonel önlemleri almamasından kaynaklanmaktadır. Bu sebeple DPC, Banka’ya 750.000 € para cezası vermiştir.

Bkz. https://www.dataprotection.ie/sites/default/files/uploads/2023-03/Final%20Decision%20IN-20-7-2%20Bank%20of%20Ireland%20%28BOI%29%20365.pdf

Norveç Veri Koruma Otoritesi (“NPDA”), Argon Medical Devices’a 220.000 € para cezası vermiştir.

Veri sorumlusu Argon Medical Devices adlı tıbbi ekipmanlar üreten şirket, 21 Mayıs-14 Haziran 2021 tarihleri arasında Avrupa’daki çalışanlarının kimlik, bordro ve sigorta bilgilerinin çalınması ile bir siber güvenlik saldırısına uğramıştır. Veri sorumlusunun GDPR’a göre bu ihlalin oluşmasından itibaren 72 saat içerisinde bu ihlali bildirmesi gerekirken bu bildirimi Eylül 2021’de yapmış olmasından ötürü NPDA tarafından veri sorumlusu Argon Medical Devices’a 220.000 € para cezası verilmiştir.

Bkz. https://www.enforcementtracker.com/ETid-1697 

CJEU’da bir başsavcı, kişilerin krediyi ödeyebilme kabiliyetlerine ilişkin olasılık hesaplanmasının GDPR kapsamında profillemeye neden olduğuna karar vermiştir.

Kredi çekmek için bir kredi kuruluşuna başvuran bir kişinin başvurusu, SCHUFA Holding AG’nin (“SCHUFA”) kredi kuruluşuna, ilgili kişiye ait kredi sağladığı kredi skoru nedeniyle reddedilmiştir. İlgili kişi SCHUFA’dan kendisiyle ilgili verilerin silinmesini ve bu verilere erişim talep etmiş, fakat, bu isteği reddedilmiştir. Bunun üzerine ilgili kişi, idare mahkemesine dava açmıştır. Konu son olarak CJEU’nun önüne gelmiştir. CJEU’da başsavcı, kişilerin krediyi ödeyebilme kabiliyetlerine ilişkin olasılıkların otomatik hesaplanmasının GDPR uyarınca, profilleme teşkil ettiğine karar vermiştir. Ayrıca, kararda ilgili kişilerin otomatik veri işlemeye dayalı bir karara tabi olmamayı ve kendileriyle ilgili kişisel verilerin silinmesini veri sorumlularından herhangi bir gecikme olmaksızın talep etme haklarına sahip olduklarına da yer verilmiştir.

Bkz.https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-03/cp230049en.pdf

İspanyol Veri Koruma Otoritesi (“AEPD”), Vodafone España, S.A.U.’ya 136.000 € para cezası vermiştir.

Bir ilgili kişi, AEPD’ye yetkisiz kişiler tarafından Vodafone hesabına erişmesi ve hizmet sözleşmesinde değişiklik yapması nedeniyle başvuruda bulunmuştur. AEPD, veri sorumlusu Vodefone’a ilişkin soruşturmaları yürütürken Vodafone’un, hesabında değişiklik talep eden kişinin kimliğini doğrulanmaksızın hesapta değişiklik yaptığını fark etmiştir. Bu sebeple Vodefone’a 170.000 € para cezası vermiştir. Fakat, Vodafone sorumluluğu ve ihtiyari ödemeyi kabul ettiği gerekçesiyle cezası 136.000 €’ya düşürülmüştür.

Bkz.https://www.enforcementtracker.com/ETid-1695

Fransız Veri Koruma Otoritesi (“CNIL”), CITYSCOOT isimli scooter kiralama şirketine 125.000 € para cezası vermiştir.

CNIL, son yıllarda soruşturmalarını yerel hizmetlerin ilgili kişinin yerinin tespit edilmesi konusuna yöneltmiş ve elektrikli scooter kiralayan CITYSCOOT şirketi hakkında bir soruşturma yürütmüştür. Bu doğrultuda, CNIL, CITYSCOOT’un scooter kiralarken her 30 saniyede bir aracın dolayısıyla da ilgili kişinin konumuna ilişkin verileri topladığını ve ayrıca yapılan yolculukların geçmişini sakladığını tespit etmiştir. Konuyla ilgili, CITYSCOOT verilerin trafik ihlallerini, şikâyetleri, hırsızlık vakalarını takip etme, kaza hallerinde ilgili kişilere yardımcı olma gibi amaçlarla toplandığını belirtmiştir. CNIL, bu amaçlardan hiçbirinin coğrafi konum verilerinin şirket tarafından gerçekleştirilen kadar ayrıntılı ve sık bir şekilde toplanmasını haklı çıkarmadığına, dolayısıyla şirketin kişisel veri işleme faaliyetlerinin amaçla bağlantılı, sınırlı ve ölçülü olmadığına kanaat getirmiştir. Şirketin mevcut uygulamasının ilgili kişi hareketlerini, sık uğradıkları yerleri ve hatta bir yolculuk sırasında uğradıkları tüm durakları tespit edebilme açısından ilgili kişilerin özel hayatlarının gizliliğine müdahale oluşturduğuna karar vermiştir. CNIL ilgili kişi konumlarını oldukça kısa olan aralıklarla toplamadan da aynı hizmetin sunabileceğini bu nedenle de şirketin GDPR’da kapsamında veri minimizasyonu ilkesini ihlal ettiğine karar vermiştir. Bunlara ek olarak, CNIL, CITYSCOOT’un veri işleyeni ile yaptığı sözleşmelerde GDPR uyarınca bulunması gereken tüm kriterlerin yer almadığını ve ilgili kişilerin hesap açma ve şifre işlemleri sırasında verilerinin 3. taraflara aktarıldığı bilgisini ilgili kişilere sağlamadığı ya da ilgili kişilerden konuyla ilgili herhangi bir rıza almadığı gerekçeleri ile CITYSCOOT’a toplamda 125.000 € para cezası vermiştir.

Bkz. https://www.cnil.fr/en/geolocation-rental-scooters-cityscoot-fined-eu125000

Kamuoyu Duyuruları

Birleşik Krallık Veri Koruma Otoritesi (“ICO”), Yapay Zekâ ve Veri Koruma Rehberi’ni güncellemiştir.

ICO, Yapay Zekâ ve Veri Koruma Rehber’inde hesap verilebilirlik, yönetişim, şeffaflık, hukuka uygunluk, doğruluk, adillik gibi kavramların içeriğini genişletmiş ve veri koruma ilkeleri doğrultusunda yeniden yapılandırılmıştır. Bunlara ek olarak, yapay zekâ sistemlerini kullanırken veri korumasını sağlamak için "adillik algoritmaları", “ilişki”,  ve "önyargı azaltma algoritmaları", “ödül fonksiyonu” gibi birçok yeni tanım eklenmiştir.

Bkz.https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-ai-and-data-protection/

noyb, Almanya’daki pek çok siyasi parti hakkında şikayette bulunmuştur.

noyb, 2021 yılında Almanya’da yapılan federal seçimlerine ilişkin Alman Meclis’inde yer alan siyasi partilerin potansiyel seçmenleri tespit ederek, Facebook sayesinde kişileri kategorize ederek yine Facebook aracılığı ile kişiselleştirilmiş seçim vaatlerinde bulunduğu ve siyasi görüşlerin hassas veri olduğunu gözetmeden seçim kampanyalarını yürüttüğü iddiasıyla şikayette bulunmuştur.

Bkz. https://noyb.eu/en/political-microtargeting-facebook-election-promise-just-you

Avrupa Komisyonu, Whatsapp ile AB’deki ilgili mevzuat hükümlerinetam olarak uygun davranacağı konusunda anlaştıklarını ifade etmiştir.

Avrupa Komisyonu ve Whatsapp yapmış oldukları görüşmeler neticesinde Whatsapp, kullanıcı sözleşmelerinde hangi değişiklikleri yapmayı planladığını ve bunların haklarını nasıl etkileyebileceğini açıklayacağını, güncellenen hizmet şartlarını reddetme seçeneğini ekleyeceğini, güncellemeler hakkındaki bildirimlerin kapatılabilmesini veya güncellemelerin gözden geçirilmesinin geciktirilebilmesini sağlayacağını, kullanıcıların tercihlerine saygı duyacağıve sürekli tekrarlayan bildirimler göndermekten kaçınacağını taahhüt etti.  

Bkz. https://ec.europa.eu/commission/presscorner/detail/en/IP_23_1302?utm_source=miragenews&utmmedium=miragenews&utm_campaign=news