TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

Oden İnşaat Turizm ve Ticaret Anonim Şirketi

Veri sorumlusu Oden İnşaat Turizm ve Ticaret Anonim Şirketi, e-posta yoluyla oltalama saldırısı yapılmasının ardından, saldırganların veri sorumlusunun müşterilerine ait ad soyad, rezervasyon tarihi, telefon numarası, e-posta adresi bilgilerine eriştiğinden bahisle Kişisel Verileri Koruma Kurulu’na (“Kurul”) ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin 20.06.2023 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
• Saldırganların müşterilerin kişisel verilerine booking.com booking extranet ekranı üzerinden erişim sağladığı,
• Saldırganlar tarafından ilgili ekrandan veri sorumlusunun müşterilerine e-posta gönderildiğive kredi kartı bilgilerinin elde edilmeye çalışıldığı,
• İhlalden etkilenen ilgili kişi sayısının 155 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7633/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Oden-Insaat-Turizm-ve-Tic-AS

Anadolu Isuzu Otomotiv Sanayi Ticaret Anonim Şirketi

Veri sorumlusu Anadolu Isuzu Otomotiv Sanayi Ticaret Anonim Şirketi, hizmet satın aldığı şirkete gerçekleştirilen siber saldırı sonucunda çalışanlarına ait kişisel verilerin etkilendiğinden bahisle Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin veri sorumlusunun bayi çalışanları için hediye/promosyon uygulamalarının yönetildiğibir alt yapı hizmetinin sağlanması konusunda hizmet satın aldığı MiventoBilişim Hizmetleri ve Ticaret Anonim Şirketi’ne ait bir sunucuya siber saldırıolması şeklinde gerçekleştiği,
• İhlalin 24.05.2023 tarihinde başladığı ve ihlalden Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından 12.07.2023 tarihinde gönderilen e-posta ile haberdar olunduğu,
• Söz konusu internet sitesinin kurulumu, işletilmesi, siteye kayıt süreçlerinin yürütülmesi vb. hususlar Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından yönetildiği,
• İhlalden çalışanlara ait “TCKN, ad, soyad ve telefon bilgileri” verilerinin etkilendiği,
• İhlalden etkilenen kişi sayısının 1.113 ve kayıt sayısının 3.377 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7638/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Anadolu-Isuzu-Otomotiv-Sanayi-Ticaret-A-S

Çelik Motor Ticaret Anonim Şirketi

Veri sorumlusu Çelik Motor Ticaret Anonim Şirketi, hizmet satın aldığı şirkete gerçekleştirilen siber saldırı sonucunda çalışanlarına ait kişisel verilerin etkilendiğinden bahisle Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin veri sorumlusunun bayi çalışanları için hediye/promosyon uygulamalarının yönetildiği bir alt yapı hizmetinin sağlanması konusunda hizmet satın aldığı Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi’ne ait bir sunucuya siber saldırı olması şeklinde gerçekleştiği,
• İhlalin 24.05.2023 tarihinde başladığı ve ihlalden Mivento Bilişim Hizmetleri veTicaret Anonim Şirketi tarafından 12.07.2023 tarihinde gönderilen e-posta ile haberdar olunduğu,
• Söz konusu internet sitesinin kurulumu, işletilmesi, siteye kayıt süreçlerinin yürütülmesi vb. hususlar Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından yönetildiği,
• İhlalden çalışanlara ait “TCKN, ad, soyad ve e posta” verilerinin etkilendiği,
• İhlalden etkilenen kişi sayısının 2.242 ve kayıt sayısının 6789 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7639/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Celik-Motor-Ticaret-Anonim-Sirketi

Geberit Tesisat Sistemleri Ticaret Limited Şirketi

Veri sorumlusu Çelik Motor Ticaret Anonim Şirketi, hizmet satın aldığı şirkete gerçekleştirilen siber saldırı sonucunda çalışanlarına ait kişisel verilerin etkilendiğinden bahisle Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin veri sorumlusunun bir internet sitesi kurulması konusunda hizmet satın aldığı Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketine ait bir sunucuya siber saldırı olması şeklinde gerçekleştiği,
• İhlalin 24.05.2023 tarihinde başladığıve ihlalden Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından 12.07.2023 tarihinde gönderilen e-posta ile haberdar olunduğu,
• Söz konusu internet sitesinin kurulumu, işletilmesi, siteye kayıt süreçlerinin yürütülmesi vb. hususlar Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından yönetildiği,
• İhlalden çalışanlara ait “ad, soyad, e-posta, telefon, cinsiyet, doğum tarihi” verilerinin etkilendiği,
• İhlalden etkilenen kişi sayısının 743 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7640/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Geberit-Tesisat-Sistemleri-Ticaret-Limited-Sirketi

Mais Motorlu Araçlar İmal ve Satış Anonim Şirketi

Veri sorumlusu Mais Motorlu Araçlar İmal ve Satış Anonim Şirketi, hizmet satın aldığı şirkete gerçekleştirilen siber saldırı sonucunda çalışanlarına ait kişisel verilerin etkilendiğinden bahisle Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin veri sorumlusunun bayi çalışanları için hediye/promosyon uygulamalarının yönetildiği bir alt yapı hizmetinin sağlanması konusunda hizmet satın aldığı Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketine ait bir sunucuya siber saldırı olması şeklinde gerçekleştiği,
• İhlalin 24.05.2023 tarihinde başladığı ve ihlalden Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından 12.07.2023 tarihinde gönderilen e-posta ile haberdar olunduğu,
• Söz konusu internet sitesinin kurulumu, işletilmesi, siteye kayıt süreçlerinin yürütülmesi vb. hususlar Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından yönetildiği,
• İhlalden çalışanlara ait “TCKN, ad, soyad, e posta ve telefon” verilerinin etkilendiği,
• İhlalden etkilenen kişi sayısının 4.776 ve kayıt sayısının 23.861 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7641/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Mais-Motorlu-Araclar-Imal-ve-Satis-Anonim-Sirketi

Schneider Elektrik Sanayi ve Ticaret Anonim Şirketi

Veri sorumlusu Schneider Elektrik Sanayi ve Ticaret Anonim Şirketi, hizmet satın aldığı şirkete gerçekleştirilen siber saldırı sonucunda çalışanlarına ait kişisel verilerin etkilendiğinden bahisle Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin veri sorumlusunun bayi çalışanları için hediye/promosyon uygulamalarının yönetildiği bir alt yapı hizmetinin sağlanması konusunda hizmet satın aldığı Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketine ait bir sunucuya siber saldırı olması şeklinde gerçekleştiği,
• İhlalin 24.05.2023 tarihinde başladığı ve ihlalden Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından 12.07.2023 tarihinde gönderilen e-posta ile haberdar olunduğu,
• Söz konusu internet sitesinin kurulumu, işletilmesi, siteye kayıt süreçlerinin yürütülmesi vb. hususlar Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından yönetildiği,
• İhlalden çalışanlara ait “TCKN, ad, soyad, e posta ve telefon” verilerinin etkilendiği,
• İhlalden etkilenen kişi sayısının 12.249 ve kayıt sayısının 35.077 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7642/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Schneider-Elektrik-Sanayi-ve-Ticaret-Anonim-Sirketi-

Vodafone Dağıtım Servis ve İçerik Hizmetleri Anonim Şirketi

Veri sorumlusu Vodafone Dağıtım Servis ve İçerik Hizmetleri Anonim Şirketi, hizmet satın aldığı şirkete gerçekleştirilen siber saldırı sonucunda çalışanlarına ait kişisel verilerin etkilendiğinden bahisle Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin veri sorumlusunun bayi çalışanları için hediye/promosyon uygulamalarının yönetildiği bir alt yapı hizmetinin sağlanması konusunda hizmet satın aldığı Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketine ait bir sunucuya sibersaldırı olması şeklinde gerçekleştiği,
• İhlalin 24.05.2023 tarihinde başladığı ve ihlalden Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından 12.07.2023 tarihinde gönderilen e-posta ilehaberdar olunduğu,
• Söz konusu internet sitesinin kurulumu, işletilmesi, siteye kayıt süreçlerinin yürütülmesi vb. hususlar Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından yönetildiği,
• İhlalden bayi çalışanlarına ait “şifrelenmiş TCKN, ad, soyad ve işe başlama tarihi” verilerinin etkilendiği,
• İhlalden etkilenen kişi sayısının 26.698 ve kayıt sayısının 102.780 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7644/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Vodafone-Dagitim-Servis-ve-Icerik-Hizmetleri-AS

Vestel Ticaret Anonim Şirketi

Veri sorumlusu Vestel Ticaret Anonim Şirketi, hizmet satın aldığı şirkete gerçekleştirilen siber saldırı sonucunda çalışanlarına ait kişisel verilerin etkilendiğinden bahisle Kurul’a ihlal bildiriminde bulunmuştur. Yapılan bildirimde:

• İhlalin veri sorumlusunun bayi çalışanları için hediye/promosyon uygulamalarının yönetildiği bir alt yapı hizmetinin sağlanması konusunda hizmet satın aldığı Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketine ait bir sunucuya siber saldırı olması şeklinde gerçekleştiği,
• İhlalin 24.05.2023 tarihinde başladığı ve ihlalden Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketi tarafından 12.07.2023 tarihinde gönderilen bildirim ile haberdar olunduğu,
• İhlalden çalışanlara ait “TCKN, ad, soyadı, e-posta ve telefon numarası” verilerinin etkilendiği,
• İhlalden etkilenen kişi sayısının 7.560 ve kayıt sayısının 30.183 olduğu,

belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7648/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Vestel-Ticaret-A-S-

Diğer Gelişmeler

Kişisel Verileri Koruma Kurulu tarafından her yıl iki sayısı yayımlanan bilimsel-akademik nitelikli, hakemli bir dergi olan Kişisel Verileri KorumaDergisi yayımlanmıştır.

Bkz. https://dergipark.org.tr/tr/pub/kvkd

Seçilmiş Güncel Gelişmeler 20 yayımlanmıştır.

Kurul tarafından yürütülen Toplumsal Farkındalık ve Bilinçlendirme Kampanyası kapsamında rehber niteliği taşıyan Farkında Ol Güvende Kal tarafından dünyadaki güncel gelişmelere yer verildiği “Seçilmiş Güncel Gelişmeler 20” yayımlanmıştır.

Bkz. https://www.farkindaolguvendekal.org/bizden-haberler/secilmis-guncel-gelismeler-20/

Veri Sorumluları Sicili’ne (“VERBİS”) kayıt yükümlülüğüne ilişkin istisna kriterinde değişiklik yapılmıştır.

VERBİS’e kayıt istisna sınırı, 25.07.2023 tarihli ve 2023/1154 sayılı Kurul kararı ile yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon TL’den az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanlar şeklinde değiştirilmiştir. Böylelikle, VERBİS kayıt yükümlülüğüne yönelik belirlenen yıllık mali bilanço toplamı kriteri 25 milyon TL’den 100 milyon TL’ye çıkarılmış, diğer kriterlerde herhangi bir değişiklik yapılmamıştır.

Bkz. https://www.kvkk.gov.tr/Icerik/7646/Kamuoyu-Duyurusu-Veri-Sorumlulari-Siciline-Kayit-Yukumlulugune-Iliskin-Istisna-Kriterinde-Degisiklik-Yapilmasi-Hakkinda-

DÜNYADAKİ GELİŞMELER

Güncel Kararlar

Bkz. https://www.enforcementtracker.com/ETid-1940

İspanyol Veri Koruma Otoritesi (“AEPD”), Vodafone Servicios, S.L.U.’ye 56.000 € para cezası vermiştir.

Bir kişi, SIM kartının kopyasını izinsiz olarak yetkisiz bir üçüncü kişiye verdiği için Vodafone Servicios, S.L.U., hakkında AEPD'ye şikayette bulunmuştur. AEPD soruşturması sırasında veri sorumlusunun üçüncü şahsın kimliğini doğrulamadan veya verilerini paylaşmak için ilgili kişinin onayını almadan SIM kartının kopyasının verildiğini tespit etmiştir. SIM kartının kopyasının dolandırıcıların eline geçmesiyle dolandırıcıların veri sahibinin banka hesabına erişmesine ve yetkisiz işlemler yapmasına sebep olmuştur. Bu sebeple,AEPD, başlangıçta veri sorumlusuna 70.000 € para cezası vermiş, gönüllü ödeme nedeniyle 56.000 €’ya düşürmüştür.

Bkz. https://www.enforcementtracker.com/ETid-1941

AEPD, DigiSpain Telecom, S.L.’e 70.000 € para cezası vermiştir.

Bir kişi, şirket SIM kartının kopyasını izinsiz olarak yetkisiz bir üçüncü kişiye verdiğiiçin Digi Spain Telecom, S.L. hakkında AEPD'ye şikâyette bulunmuştur. AEPD soruşturması sırasında şirketin üçüncü şahsın kimliğini doğrulamadan veya verilerini paylaşmak için ilgili kişinin onayını almadan SIM kartının kopyasının verildiğini tespit etmiştir. SIM kartının kopyasının dolandırıcıların eline geçmesiyle dolandırıcıların veri sahibinin banka hesabına erişmesine ve yetkisiz işlemler yapmasına sebep olmuştur. Bu sebeple, AEPD, veri sorumlusuna 70.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-1962

Rumen Veri Koruma Otoritesi (“ANSPDCP”), ING Bank NV Amsterdam Sucursala București’ye 3.000 € para cezası vermiştir.

ING Bank NV Amsterdam Sucursala București veri sorumlusu sıfatıyla, ANSPDCP’ye veri ihlal bildiriminde bulunmuştur. Bu bildirime ilişkin inceleme sırasında ANSPDCP bir pdf dosyasının Whatsapp aracılığıyla yetkisiz bir şekilde iletildiğini tespit etmiştir. Söz konusu dosyanın iletilmesi veri sorumlusunun pek çok sayıda müşterisinin kişisel verisinin yetkisiz olarak aktarılmasına sebebiyet vermiştir. Yapılan inceleme sonucunda ANSPDCP veri sorumlusunun kişisel verileri korumak için yeterli teknik ve idari tedbirleri almadığına kanaat getirmiştir. Bu sebeple, ANSPDCP veri sorumlusuna 3.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-1968

AEPD, Nandivale, S.L.'e 10.000 € para cezası vermiştir.

Restoran işletmesi olan veri sorumlusu Nandivale, S.L. işletmesinde gerçekleşen bir doğum günü partisine katılan ve  reşit olmayan kişilerin görüntülerini sosyal medyaya yüklemiştir. Görüntüleri yüklenen 4 yaşındaki çocuklardan bir tanesinin ebeveyni, görüntülerin yayınlanmasına izin vermediğini belirterek şikayetçi olmuştur. Bu nedenle AEPD, veri sorumlusunun geçerli bir hukuki nedeni olmadan fotoğrafları işlediğine kanaat getirmiş ve veri sorumlusuna 10.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-1964

AEPD, CaixaBank, S.A.'ye 25.000 € para cezası vermiştir.

Veri sorumlusu CaixaBank, S.A.'den bilgi talep eden ilgili kişi, talep edilen bilgiyi veri sorumlusundan değil de üçüncü bir kişiden almış ve buna ilişkin AEPD’ye şikayette bulunmuştur. AEPD, verileri üçüncü kişilerin paylaşması sebebiyle veri sorumlusunun kişisel verileri korumak için yeterli teknik ve idari tedbirleri uygulamadığına kanaat getirmiş ve veri sorumlusuna 25.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-1953

AEPD, bir gerçek kişiye 5.000 € para cezası vermiştir.

Veri sorumlusu olan gerçek kişi, kamusal alanı da kapsayacak şekilde güvenlik kamerası sistemi kurmuştur. AEPD, bunun ölçülülük ilkesini ihlal edeceğine kanaat getirmiştir. Ek olarak, veri sorumlusu, ilgili kişileri güvenlik kamerası sistemi ve verilerin işlenmesi hakkında gerektiği şekilde aydınlatmamıştır. Tüm bunları göz önüne alan AEDP, veri sorumlusuna 5.000 € para cezası vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-1944

Kamuoyu Duyuruları

Bkz. https://www.datatilsynet.no/en/news/aktuelle-nyheter-2023/temporary-ban-of-behavioural-advertising-on-facebook-and-instagram/

Avrupa Komisyonu (“Komisyon”), Amerika Birleşik Devletleri’ne (“ABD”) kişisel veri aktarımını mümkün kılan yeterlilik kararı almıştır.

Komisyon tarafından Avrupa Birliği’nden (“AB”), ABD’ye kişisel veri aktarımını mümkün kılan, AB-ABD Veri Gizliliği Çerçevesi hakkında yeterlilik kararı alınmıştır. Bu kapsamda Genel Veri Koruma Tüzüğü (“GDPR”) yükümlülükleri dikkate alınarak AB’den ABD’ye herhangi ek bir güvenlik önlemi almaya gerek olmaksızın kişisel veri aktarımı imkanı tanınmıştır. ABD kolluk kuvvetleri tarafından AB’den temin edilen kişisel verilere erişim sınırlandırılarak daha önce verilen yeterlilik kararında ortaya çıkan sorunlara ilişkin tereddütler giderilmeye çalışılmıştır. Ayrıca, AB vatandaşları için Veri Koruma İnceleme Mahkemesi kurularak yeni bir denetim mekanizması yaratılmıştır. Bu mahkeme, kişisel veri ihlali halinde toplanan tüm verilerin silinmesine karar verebilme yetkisiyle donatılmıştır. Ek olarak ilgili kişilerin herhangi bir kişisel veri ihlaline uğramaları halinde alternatif uyuşmazlık çözümü yollarına ya da tahkime başvurabilmeleri mümkün hale getirilmiştir. Aynı zamanda AB-ABD Veri Gizliliği Çerçevesi hakkında verilen yeterlilik kararının etkin ve hukuka uygun bir şekilde uygulanması amacıyla belirli sürelerde gözden geçirileceği de Komisyon tarafından ifade edilmiştir.

Bkz. https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

Avrupa Adalet Divanı (“Divan”), Meta’nın hukuka aykırı kişisel veri işleme politikası sebebiyle hâkim durumu kötüye kullandığına kanaat getirmiştir.

Alman Rekabet Otoritesi’nin, 2016 yılında Meta hakkında başlattığı soruşturma kapsamında, Meta’nın kişisel veri işleme politikası nedeniyle hakim durumunu kötüye kullandığı tespit etmiş ve kişisel veri işleme politikasını hukuka uygunhale getirmesi istenmişti. Bu karar doğrultusunda, kişisel veri işleyen birişletmenin kişisel veri işlemesi sebebiyle piyasadaki rekabeti de etkilediğinden bahisle söz konusu durumun rekabet hukuku kapsamında dadeğerlendirilmesi gerektiği sonucu ortaya çıkmıştır. Divan ise Alman Rekabet Otoritesi’nin kararına katılarak Meta’nın hukuka aykırı veri işleme politikası nedeniyle hakim durumunu kötüye kullandığına kanaat getirmiştir. Bu karar, kişisel verilerin hukuka aykırı olarak işlenmesi sorununu, rekabet hukuku ve kişisel verilerin korunması hukukunun resmen kesişim noktası haline getirmesi sebebiyle önem teşkil etmektedir.

Bkz. https://noyb.eu/en/cjeu-declares-metafacebooks-gdpr-approach-largely-illegal