TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Boyner Büyük Mağazacılık Anonim Şirketi

Veri sorumlusu Boyner Büyük Mağazacılık Anonim Şirketi, Kişisel Verileri Koruma Kurulu’na (“Kurul”), müşterilerine ticari elektronik ileti gönderilmesi ve müşterilerin bilgilendirilmesi amacılarıyla toplu mesaj gönderim hizmetleri için kullandığı SMS Gönderim Paneli üzerinden müşterilerinin verilerine erişildiğinden bahisle ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• Yapılan kontrollerde, SMS Gönderim Paneli üzerinden sunulan hizmetlere erişmek için kullanılan hesaplardan bir tanesine ait kullanıcı adı ve şifresi kullanılarak ilk kez 28.04.2023 günü saat 18:15’te SMS Gönderim Paneli’ne şüpheli giriş yapıldığı; 06.05.2023 tarihi saat 19:36’ya kadar da çeşitli şüpheli girişler yapıldığının anlaşıldığı; bu girişlerde, herhangi bir hatalı şifre denemesi bulunmadığı görüldüğünden sisteme erişen kişilerin doğru kullanıcı adı ve şifre kombinasyonu bilgisine sahip olduğunun düşünüldüğü; ancak bu kullanıcı adı ya da şifre bilgisine nasıl sahip olunduğunun henüz tespit edilemediği,
• SMS Gönderim Panelinde kayıtlı toplam 2.313.962 müşterinin iletişim (cep telefonu numarası) ve müşteri işlem verilerine (ilgili müşteriye hangi pazarlama SMS’lerinin gönderildiği ve bu SMS’lerin ilgili müşteriye ulaşıp ulaşmadığı bilgisi) erişildiğinin anlaşıldığı; ayrıca bu kişilerin içerisinden 534.605 kişiye, Media Markt Turkey Ticaret Ltd. Şti. tarafından işletilen “www.mediamarkt.com.tr” internet sitesini taklit eden sahte bir internet sitesinin linkini içeren SMS’lerin gönderildiğinin anlaşıldığı,
• Bu eylemleri gerçekleştiren kişilerce banka hesabı olmaksızın para gönderip almayı ve para yükleyip çekebilmeyi sağlayan bir uygulamadaki bir hesaba para gönderilmesinin amaçlandığı,
• Bununla birlikte SMS Gönderim Panelinde kayıtlı toplam 741.945 müşteriye ise, bu müşterilerin herhangi bir verisine erişim sağlanmaksızın, SMS Gönderim Paneli’nden daha önce gönderilmiş SMS’lerin içerikleri değiştirilerek yeniden SMS gönderildiği;
• İhlalden tahmini olarak 3.055.907 kişinin etkilendiği, belirtilmiştir.

Bkz. www.kvkk.gov.tr/Icerik/7610/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Boyner-Buyuk-Magazacilik-Anonim-Sirketi

Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret Anonim Şirketi

Veri sorumlusu Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret Anonim Şirketi, Kurul’a siber saldırı sonucunda sunucularının şifrelendiği bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin 19.05.2023 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
• Siber saldırıdan ayrıca Trabzonspor Ticari Ürünler ve Turizm İşletmeciliği Ticaret Anonim Şirketi, Trabzonspor Futbol İşletmeciliği Ticaret Anonim Şirketi, Trabzonspor Telekomünikasyon Danışmanlık ve Servis Hizmetleri Ticaret Anonim Şirketi, Bordo Mavi Futbol Yatırımlar Ticaret Anonim Şirketi, Trabzonspor Kulübü Derneği, Trabzonspor Bordo Mavi Enerji Elektrik Üretim Anonim Şirketi’nin de etkilendiği,
• Şifrelenen sunucularda tutulan dosyalara erişim sağlanamadığı; bu sebeple ihlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
• İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar, öğrenciler ve müşteriler ve potansiyel müşteriler olduğu,
• İhlalden kimlik, iletişim, özlük, müşteri işlem, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile diğer veri kategorilerinin etkilendiği, belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7615/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Trabzonspor-Sportif-Yatirim-ve-Futbol-Isletmeciligi-Ticaret-A-S-

DÜNYADAKİ GELİŞMELER

Güncel Kararlar

Fransız Veri Koruma Otoritesi (“CNIL”), Clearview AI’ya 5.200.000 € para cezası vermiştir.

CNIL, Clearview AI’ya kişisel verileri hukuka aykırı olarak topladığı için şirkete 2022 yılında 20.000.000 € para cezası vererek kişisel verilerin işlenmesine ilişkin işlemlerini iki ay içinde mevzuata uygun hale getirmesini emretmiştir.  Fakat bu süre içinde Clearview AI’ya, kararauymadığı yani, kişisel verilerin işlenmesine ilişkin işlemlerini mevzuata uygun hale getirmediği için 5.200.000 € para cezası verilmiştir. 

Bkz. https://www.enforcementtracker.com/ETid-1839 , https://www.cnil.fr/en/facial-recognition-cnil-imposes-penalty-payment-clearview-ai

Hırvat Veri Koruma Otoritesi (“AZOP”), icra dairesine 2.265.000 € para cezası vermiştir.

• AZOP, 2022'de çok sayıda borçlunun kişisel verilerinin icra dairesi tarafından izinsiz olarak işlendiğine dair isimsiz bir şikâyet almış ve şikâyete 77.317 borçlunun kişisel verilerini (isim, doğum tarihi, kişisel kimlik numarası) içeren bir USB bellek konu olmuştur.
• İcra dairesinin gizlilik politikasında kişisel verilerin işlenmesi hakkında yeterli bilgi yer almadığını tespit edilmiştir. Ayrıca, icra dairesi tarafından fazla ödenen fonların iadesi hakkında yasal dayanağı hakkında bilgi sağlanamamıştır. Söz konusu ihlalden 132.652 kişi etkilemiştir.
• İcra dairesinin tüketicilere düzenlenen icra prosedürüne ilişkin olarak veri işleyen ve kontrolör arasında ile bir veri işleme sözleşmesi yapılmadığı tespit edilmiştir. Söz konusu ihlalden 83.896 kişi etkilenmiş olup bu ihlal 2 yıl boyunca devam etmiştir.
• Kontrolörün kişisel verileri korumak için yeterli teknik ve organizasyonel önlemleri uygulamadığını tespit edilmiştir. Bu eksiklikler, kişisel verilerin büyük ölçekte güvensiz bir şekilde işlenmesine ve verilerin izinsiz olarak filtrelenmesine neden olmuştur. Söz konusu ihlal, en az 2019'dan beri devam etmekte olduğu tespit edilmiştir.
• Aynı zamanda kontrolörün, bu sırada AZOP ile yeterince işbirliği yapmaması da ağırlaştırıcı faktör olarak değerlendirilmiştir.
• Kontrolör tespit edilen ihlallerin gelecekteki risklerini önlemek için aldığı ek önlemler hakkında AZOP'u bilgilendirmemiş ve gizlilik politikasını Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumlu hale getirmemiştir. Açıklanan nedenlerle, AZOP şimdiye kadar verdiğien yüksek para cezasını olan 2.265.000 € para cezasını icra dairesine vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-1816

İspanyol Veri Koruma Otoritesi (“AEPD”), GSMA LTD'ye 200.000 € para cezası vermiştir.

Bir kişi, bir etkinliğe kaydolmak için özel kategorilerdeki kişisel verilerin alındığını ve bunların kontrolöre aktarılması sebebiyle AEPD'ye şikayette bulunmuştur. AEPD, soruşturması sırasında, kontrolörün söz konusu verilerin işlenmesi için bir veri koruma etki değerlendirmesi gerçekleştirmediğini tespit etmiş ve 200.000 € para cezası vermiştir. 

Bkz. https://www.enforcementtracker.com/ETid-1806

İrlanda Veri Koruma Otoritesi (“DPC”), Meta Ireland’a 1.200.000.000 € para cezası vermiştir.

DPC, Meta Ireland’ın Avrupa Birliği (“AB”) ve Avrupa Ekonomik Alanı’nda (“AEA”) topladığı verileri Amerika Birleşik Devletleri (“ABD”)’ye aktardığına ve bu aktarımın GDPR- m. 46’ya aykırı olarak gerçekleştiğine kanaat getirmiştir. Bu doğrultuda, DPC,

• Meta Ireland’ın GDPR-m. 58/2-j uyarınca, Meta Ireland’ın tebliğ tarihinden itibaren ABD’ye veri transferini 5 ay boyunca askıya alınmasına,
• Meta Ireland’a 1.200.000.000€ idari para cezası verilmesine,
• GDPR-m. 58/2-d uyarınca, AB ve AEA’dan topladığı kişisel verilerin depolama faaliyetleri dahil olmak üzere işleme faaliyetlerinin tebliğ tarihinden itibaren 6 ay içerisinde, GDPR hükümlerine uyumlu hale getirilmesi hususunda kontrolör veya veri işleyiciyi talimatlandırılmasına karar vermiştir.

Bkz. https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf

CNIL, Doctissimo’ya 380.000 € para cezası vermiştir.

26 Haziran 2020’de Privacy International Doctissimo isimli sağlık makaleleri, online sağlık quizleri ve tartışma platformu barındıran internet sitesini şikayet etmiştir.  Şikayete konu olan hususlar, kontrolör tarafından web sitesinde gerçekleştirilen tüm işleme işlemleri, çerezlerin izinsiz kullanımı, online sağlık quizleriyle veri işlemenin yasal dayanağı, şeffaflık yükümlülüğüne aykırılık ve veri güvenliği ile ilgilidir. Soruşturma sırasında,

• Veri sorumlusunun, kullanıcıların e-posta adresini 24 ay boyunca sakladığı,
• Kullanıcıların üç yıl süreyle etkin olmadıkları durumda verilerin anonim hale getirildiği fakat yinede verilerin dolaylı olarak kişiselleştirmenin hala mümkün olduğu,
• Veri sorumlusunun sağlık verilerini işlemek için kullanıcıların rızalarının alınmadığı,
• İki kuruluşun ortak kontrolör olduklarını düşünmesine rağmen GDPR-m.26 kapsamında kuruluşlar arasında herhangi bir sözleşme olmadığı,
• Veri sorumlusunun http protokolü kullanmaması sebebiyle güvenli olmadığı ve ihlali riski olduğu,
• Reklam çerezlerinin önceden alınmadan ayarlandığı ve kullanıcıların bunları reddetmesinin bir öneminin olmadığı, tespit edilmiş ve Doctissimo’ya 380.000 € para cezası verilmiştir.

Bkz. https://www.cnil.fr/en/health-data-and-use-cookies-doctissimo-fined-eu380000

Rumen Veri Koruma Otoritesi (“ANSPDCP”), Libra Internet Bank SA'ye (“Banka”) 11.000 € para cezası vermiştir.

Bir kişi, bankanın bilgi talebinde bulunanların taleplerini yerine getirmemesi nedeniyle banka hakkında şikâyette bulunmuştur. ANSPDCP, bankanın veri sahibihaklarının kullanılmasını kolaylaştırdığını göstermesi gerektiğine kanaat getirmiş ve bankanın veri sahibine ANSPDCP’ye şikâyette bulunma olasılığı olduğu hakkında ANSPDCP’ye bilgi vermediği de tespit etmiştir.

Bkz. https://www.enforcementtracker.com/ETid-1845

AEPD Marketing Accommodantion Solutions FZ,L.L.C.’ye 75.000 € para cezası vermiştir.

Veri sorumlusu olan Accommodantion Solutions FZ, L.L.C. üzerinden rezervasyon yapmak isteyen bir kişi, check-in yapmak için gereken, form doldurma ve tüm konukların e-postaları, telefon numaraları ve adresleri ile kimlik kartlarının her iki yüzünün fotoğrafları dahil olmak üzere kişisel verilerini sağlaması prosedürlerini gereğinden fazla veri talep edildiği gerekçesiyle AEPD’ye şikayet etmiştir. Bunun neticesinde AEPD, Accommodantion Solutions FZ, L.L.C.’nin kişilerin kimlik kartlarının her iki yüzünün fotoğraflarının talep edilmesinin verilerin işlenme amaçlarıyla ilgili olarak yeterli, yerinde ve gerekli olarak sınırlandırılmadığı yani GDPR-m.5/1-c’ye aykırılık teşkil ettiğine kanaat getirmiştir. Ayrıca, Accommodantion Solutions FZ, L.L.C.’nin GDPR-m.13 kapsamında kontrolörün kimlik ve irtibat bilgilerinin, veri koruma görevlisinin irtibat bilgilerinin, kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağının veri sahibine sağlanmadığını tespit etmiştir. Bu doğrultuda, Accommodantion Solutions FZ, L.L.C.’ye GDPR-m.5/1-c ihlali nedeniyle 25.000 € ve GDPR-m.13 ihlali nedeniyle 50.000 € para cezası vermiştir. 

Bkz. https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00499/2022&mtc=today

Kamuoyu Duyuruları

Avusturya Veri Koruma Otoritesi (“DSB”), Clearview AI’ın yasaya aykırı olduğuna karar vermiştir.

DSB, ABD merkezli yüz tanıma yazılımı geliştirip satan Clearview AI'nın biyometrik profillerin aranabilir kalıcı bir veri tabanını oluşturmak için web sitelerinden fotoğraflar almakta olduğundan bir kişi kendi biyometrik verilerinin işlemesine izin vermemiş ve kendi verilerinin silinmesini talep etmiştir. Bu karar doğrultusunda Clearview AI artık biyometrik verileri işlemeyerek ve silme talebini yerine getirmesi gerekmiştir. İtalya, İngiltere, Fransa ve Yunanistan'da DSB’nin vermiş olduğu bu karara benzer kararlar vermiştir. Bu kararın ilginçtarafı DSB’nin Clearview AI’ın yasaya aykırı olduğuna karar vermesi fakat herhangi bir ceza vermemesidir. 

Bkz. https://noyb.eu/en/clearview-ai-data-use-deemed-illegal-austria-however-no-fine-issued

EDPB, icra hukukunda yüz tanıma teknolojisine ilişkin Rehber yayımlamıştır.

Bu Rehber’de yüz tanıma teknolojilerin yalnızca İcra Hukuku Yönetmeliği'ne tam uyum içinde, gerekli ve orantılı olarak kullanılması gerektiği vurgulanmıştır. Ayrıca, EDPB-EDPS’nin ortak görüşüne göre belirli hallerde yüz tanıma teknolojisinin kullanımının yasaklanması gerektiği de ifade edilmiştir. 

Bkz. https://edpb.europa.eu/news/news/2023/edpb-adopts-final-version-guidelines-facial-recognition-technology-area-law_en