Kişisel Verilerin Korunması Alanında Haziran Ayında Neler Oldu?
1 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI
- Karakaya Kuruyemiş Gıda Tarım Ürünleri İnş. Taah. Turz. Teks. San. ve Tic Ltd. Şti.
- VERİ İHLALİ BİLDİRİMİ
- Karakaya Kuruyemiş Gıda Tarım Ürünleri İnş. Taah. Turz. Teks. San. ve Tic Ltd. Şti.
Veri sorumlusu sıfatını haiz Karakaya Kuruyemiş Gıda Tarım Ürünleri İnş. Taah. Turz. Teks. Sanayi ve Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) İhlalin 10.06.2024 tarihinde gerçekleştiği ve 11.06.2024 tarihinde tespit edildiği, (ii) Veri sorumlusunun bir siber saldırıya maruz kaldığı ve çalışanların, müşterilerin, satın alma işlemi yapılan ve yan hizmet alınan tüm firmaların bilgilerinin kayıtlı olduğu sunucuların kilitlendiği, (iii) İhlalden etkilenen kişi sayının 200 olduğu, (iv) İhlalden çalışanlar, kullanıcılar ve müşterilerin etkilendiği, (v) İhlalden kimlik, iletişim, lokasyon, özlük, müşteri işlem, işlem güvenliği, risk yönetimi, finans, pazarlama, görsel ve işitsel kayıtlar ilişkin verilerin etkilendiği, (vi) Etkilenen özel nitelikli veriler arasında ise ırk ve etnik köken, sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin verilerin bulunduğu bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.
2. KİŞİSEL VERİLERİ KORUMA KURUMU ETKİNLİKLERİ VE DUYURULARI
2.1 KVKK’da Yapılan Değişiklikler ve Yansımaları Konferansı Gerçekleştirildi
Kişisel Verileri Koruma Kurumu ve İstanbul 2 Nolu Barosu ortaklığında “KVKK’da Yapılan Değişiklikler ve Yansımaları Konferansı” 11 Haziran 2024 Salı günü İstanbul Kartal Anadolu Adalet Sarayı Konferans Salonu’nda gerçekleştirildi.
Özel nitelikli kişisel verilerin işlenmesinin yanı sıra yurt dışına kişisel veri aktarımı konusuyla da ilgili açıklamalarda bulunan Kişisel Verileri Koruma Kurumu Başkanı Faruk BİLİR şunları söyledi:
“Kişisel verilerin yurt dışına aktarılmasıyla ilgili temelde üç aşamadan oluşan yeni bir aktarım rejimi belirlenmiştir. Kanun’un 5’inci ve 6’ncı maddelerinde yer alan işleme şartlarından birinin varlığı halinde, ilk olarak yeterlilik kararının bulunup bulunmadığına bakılmalıdır. Yeterlilik kararının bulunmaması durumunda; yine Kanun’un 5’inci ve 6’ncı maddelerde yer alan işleme şartlarından birinin varlığı halinde, uygun güvencelerden birinin sağlanıp sağlanmadığına bakılmalıdır. Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, istisnai aktarım hallerinden birinin varlığı aranmalıdır. İstisnai aktarım hallerinden biri varsa, arızi olmak kaydıyla yurt dışına kişisel veri aktarılabilecektir.”
Öte yandan Konferans’ta; (i)Kişisel Verilerin Korunması Kanunu’nda Gerçekleştirilen Değişikliklere Genel Bakış (ii) Yurt Dışına Aktarımda Uygun Güvenceler ve Yeterlilik Kararı (iii) İstisnai Aktarım Halleri (iv) KVKK Bakımından Sonraki Aktarım (v) Kanun Değişikliğinin İş Hukuku Alanına Etkileri (vi) Değişen Veri İşleme Şartları ile Özel Nitelikli Kişisel Verilerin İşlenmesi konuları ele alındı.
3. YURTİÇİNDE VE YURTDIŞINDA DİKKAT ÇEKEN GELİŞMELER
3.1 12.03.2024 Tarih ve 32487 Sayılı Resmî Gazete’de Yayımlanan 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na İlişkin Değişiklikler 01.06.2024 Tarihi İtibarıyla Yürürlüğe Girdi.
Kanun’da özel nitelikli kişisel verilerin işlenmesini düzenleyen 6. madde ve yurt dışına veri aktarımını düzenleyen 9. maddede değişiklik yapılmıştır. Yapılan değişiklikler 1/6/2024 tarihinde yürürlüğe girmiştir. Ancak, kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9. maddesinin mevcut birinci fıkrası, maddenin değiştirilen haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam edecektir. Kişisel verilerin yurt dışına aktarımı için temelde üç aşamadan oluşan yeni bir sistem öngörülmüştür, bunlar: (i) Yeterlilik Kararı, (ii) Uygun Güvenceler, (iii) İstisnai Aktarım Halleri (Arızi Haller)’dir.
3.2 Dünyanın İlk Yapay Zekâ Hastanesi Çin’de Açılıyor.
2024 yılında faaliyete geçmesi planlanan ‘Agent Hospital’ dünyanın ilk yapay zekâ hastanesi statüsünde Çin’de tanıtıldı. Pekin’deki Tsinghua Üniversitesi’nden araştırmacılar tarafından geliştirilen yapay zekâ hastanesinin 2024 yılında faaliyete geçmesi planlanıyor. Robot doktorların günde 3.000 hastayı tedavi edebileceği öngörülüyor.
3.3 Ekonomik Kalkınma ve İş Birliği Örgütü (Organisation For Economic Co-Operation And Development, “Oecd”) Tarafından Yapay Zekâ, Veri ve Rekabet Arasındaki İlişkinin Açıklandığı Bir Makale Yayımlandı.
‘’OECD’’ tarafından yayımlanan bahse konu makalede (i) yapay zekâ tedariğinde rekabet, (ii) rekabet otoritelerinin kullanabileceği araçlar, (iii) rekabet politikası ve yapay zekâ için gelecekteki ilgi alanları konuları üzerinde durulmuştur.
Bahse konu makaleye buradan ulaşabilirsiniz
3.4 Türkiye Bilişim Sanayicileri Derneği (TÜBİSAD) tarafından “Bilgi ve İletişim Teknolojileri Sektörü 2023 Yılı Pazar Verileri ve Trendleri 2023 Raporu” Yayınlandı.
Türkiye’de 10 bin 424 şirketin katıldığı rapora göre Türkiye bilgi ve iletişim pazarının büyüklüğü 2023’te TL bazında 784,6 milyar liraya ulaşmaktadır. Raporda sektörün toplam istihdamının yüzde 11 artışla 237 bin kişiye yükseldiği görülmüştür.
Raporda 2023’te bilgi ve iletişim teknolojileri sektöründe öne çıkan teknolojiler,
- “Üretken İş Hayatında GenAI”,
- “Bulut Dönüşümü”,
- “Platform Mühendisliği”
- “Sektörel Metavers”
olmak üzere 4 ana başlıkta değerlendirilmektedir. “İş Dünyasında Sürdürülebilirlik” ise etkisi devam eden trend olarak yer almaktadır.
3.5 Avrupa Parlamentosu Araştırma Servisi (EPRS) İş Hayatında Yapay Zekâ Algoritması Kullanımına Dair Çalışmasını Yayınladı.
Söz konusu çalışmada yapay zekânın işveren açısından daha iyi bir organizasyon ve artan üretkenlik yönüyle bir motivasyon kaynağına dönüşmesi ancak çalışanların etik kaygılarının negatif yönde etkilenmesinden bahsedilmektedir. Mevcut yasal düzenlemeler ile iş hayatında yapay zekâ kullanımının ortaya çıkarabileceği riskler çerçevesinde geleceğe yönelik değerlendirmeler yapılmaktadır.
3.6 Belçika Ulusal Veri Koruma Otoritesi (‘’APD’’) Tarafından İş Başvurusunda Adayın Gizli İletişiminin Kamuoyuna Açıklanması Sebebiyle 30.000 € Tutarında Para Cezası Kesildi
Belçika’da bir okula iş başvurusunda bulunan veri sahibi, başvurusunun reddine dair kararın dijital bir okul platformu olan Smartschool’da yayınlandığını görmesi üzerine, Belçika Ulusal Veri Koruma Otoritesine şikâyette bulunmuştur. Bu başvuru üzerine APD, veri gizliliğini ihlal eden okula GDPR Madde (12) ve (15) uyarınca 30.000 Euro idari para cezası kesilmiştir.
3.7 Macaristan Ulusal Veri Koruma ve Bilgi Edinme Özgürlüğü Kurumu (‘’NAIH’’) Tarafından Kişisel Verilerin İşlendiği Haber Makalesine 25,695 € Ceza Verildi.
Bir haber web sayfası üzerinden yayınlanan 2 makalede, veri sahibinin ebe olarak mesleği ve bir bebek ölümüyle ilgili cezai işlemlerdeki rolü ile ilgili kişisel verileri ifşa edilmiştir. Veri sahibinin yeni doğmuş bir bebeğin ölümünden sorumlu olduğu iddiası irdelenmiş, mesleki bilgileri sorgulanmıştır. Veri sahibi aşağıdaki kişisel verilerin silinmesini talep etmiştir: (i) adı, (ii) fotoğrafı, (iii) eğitimi veya iddia edilen eksikliği, (iv) iddia edilen mesleki hareketsizliği, (v) çocukların ölümlerine ilişkin tanıklığı.
Veri sorumlusu bu talebi özellikle, basın özgürlüğü, ifade özgürlüğü ve kamuyu bilgilendirme konularındaki meşru menfaatlerine atıfta bulunarak reddetmiştir. NAIHtarafından bu olayda meşru menfaat yasal dayanak olarak reddedilmiş, menfaatler arasında yeterli bir dengeleme yapılmadığı kabul edilmiştir. NAIH, GDPR Madde (5)-(6)-(14)-(15)-(17) ve (21) uyarınca makalenin yayından kaldırılmasına karar vermiş ve veri sorumlusunu 25,695 € idari para cezasına hükmedilmiştir.
3.8 İspanya Veri Koruma Otoritesi (‘’AEPD’’) Tarafından Meta’nın Facebook ve Instagram’da Seçimle İlgili Özellikleri Kullanmasına İzin Verilmedi.
Yayınlanan kararda Meta’nın, planlanan Avrupa Parlamentosu Seçimleri ile ilgili özelliklerinin GDPR’yi ihlal edebileceği konusundaki endişeler neticesinde Meta’nın Seçim Günü Bilgi ve Seçmen Bilgi Birimi özelliklerinin uygulanmasını askıya alması istenilmiş ve bu özelliklerini kullanmasına izin verilmemiştir. AEPD söz konusu veri işleme faaliyetini yasal dayanaktan yoksun ve aşırı olarak nitelendirmiştir. AEPD, kişinin kendi verileri üzerindeki kontrol kaybının, veri koruma hakkının patent ihlalini ve veri sahiplerinin hak ve özgürlükleri için önemli bir riski teşkil ettiğini açıklamıştır.