Kişisel Verilerin Korunması Alanında Temmuz Ayında Neler Oldu?
5 Veri İhlali Bildirimi Yayımlandı
- Adnan Özen İnşaat Taah. Enerji Turizm Tic. ve San. A.Ş.
- Creditwest Faktoring A.Ş
- Uber Technologies Inc.
- Güneş Ekspres Havacılık A.Ş. (SunExpress)
- Ann & Robert H. Lurie Children’s Hospital of Chicago
VERİ İHLALİ BİLDİRİMİ
- Adnan Özen İnşaat Taah. Enerji Turizm Tic. ve San. A.Ş.
Veri sorumlusu sıfatını haiz olan Adnan Özen İnşaat Taah. Enerji Turizm Tic. ve San. AŞ tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) İhlalin veri sorumlusuna ait araç kiralama rezervasyonlarının alındığı web sitesinin (https://dokay.com.tr) Uygulama Programlama Arabirimi (API) üzerinde bir sızıntı yaşanması suretiyle gerçekleştiği, (ii) Siber saldırganın 26 Haziran 2024 tarihinde şirket personeline gönderdiği e-posta ile ihlalin tespit edildiği, (iii) İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu, (iv) İhlalden etkilenen kişisel veri kategorilerinin kimlik (adı, soyadı, TCKN), iletişim (adresi, telefon numarası, e-posta adresi) ve müşteri işlem (rezervasyon tarihi, kiralama süresi ile kiralama bedeli) bilgileri olduğu, (v) İhlalden etkilenen ilgili kişi sayısının 185 olduğu, veri tabanında yaklaşık 12.000 müşteriye ait kişisel veri bulunduğu, ihlale ilişkin teknik incelemelerin devam ettiği bilgilerine yer verilmiştir.
- Creditwest Faktoring A.Ş.
Veri sorumlusu sıfatını haiz olan Creditwest Faktoring A.Ş. tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle; (i) İhlalin; veri sorumlusu sunucularına yapılan saldırı neticesinde gerçekleştiği, ihlal ile ilgili olarak teknik analiz sürecinin devam ettiği, (ii) İhlalin SOC izleme uyarısı alınması sonucu tespit edildiği, (iii) İhlalden etkilenen kişi sayısının henüz tespit edilemediği, (iv) İhlalin; 27.06.2024 tarihinde başladığı ve yine aynı tarihte sona erdiği, (v) İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, müşteri işlem bilgileri olduğu, (vi) İhlalden etkilenen kişi grubunun çalışanlar ve müşteriler olduğu (vii) İlgili kişilerin www.creditwest.com.tr, veri sorumlusu telefon hatları ve e-posta yoluyla bilgi alabileceği ifade edilmiştir.
- Uber Technologies Inc.
Veri sorumlusu sıfatını haiz olan Uber Technologies Inc. tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) Veri sorumlusunun 2 Temmuz 2024 tarihinde, Uber kaynaklı olabilecek kişisel verileri kamuya açık hale getirme niyetini ortaya koyan bir kişiden e-posta almış olduğu, (ii) Veri ihlalinin ne zaman gerçekleştiğinin ve ihlalin kaynağının ne olduğunun henüz tespit edilemediği, araştırmaların devam ettiği, (iii) İhlalden Uber kullanıcıları (yolcular ve/veya yemek siparişi veren kişiler) ve/veya sürücüler ve/veya teslimat yapan kişilerin etkilendiği, İhlalden etkilenen veriler hususunda; (iv) Uber kullanıcılarının (yolcular ve/veya yemek siparişi veren kişiler) verilerine dair ekran görüntülerinde isim, e-posta adresi, telefon numarası, profil fotoğrafı, kayıt tarihi ve puan bilgilerinin bulunduğunun öngörüldüğü, (v) Uber platformundaki sürücüler ve/veya teslimat yapan kişiler bakımından ise ihlalden etkilendiği öngörülen verilerin; ekran görüntülerindeki sürücü ehliyeti, sigorta, kimlik kartı, araç kaydı ve özen yükümlülüğü kapsamındaki kontroller gibi belgeler kapsamındaki veriler olduğu, ancak etkilenen kişisel verilerin an itibariyle tam olarak bilinmediği, (vi) İhlalden etkilenen kişi sayısının henüz tespit edilemediği bilgilerine yer verilmiştir.
- Güneş Ekspres Havacılık A.Ş. (SunExpress)
Veri sorumlusu sıfatını haiz Güneş Ekspres Havacılık A.Ş. (SunExpress) tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) Bir siber saldırganın, bir yönetici hesabının giriş bilgilerini ele geçirerek veri sorumlusunun kullandığı kampanya yönetim platformuna yetkisiz erişim sağladığı ve bu hesap üzerinden oltalama amaçlı e-postalar gönderdiği, (ii) İhlalin 15.07.2024 tarihinde gerçekleştiği ve aynı gün tespit edildiği, (iii) Siber saldırganın, 596.659 tekil e-posta adresine toplamda 1.986.293 e-posta gönderdiği, (iv) İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu, (v) İhlalden etkilenen kişisel veri kategorisinin iletişim (e-posta) bilgisi olduğu, (vi) Siber saldırganın e-posta gönderdiği 596.659 e-posta adresinin; (vii) 86 adedinin çalışanlara (mevcut ve eski çalışanlar), 249.668 adedinin müşterilere ait olduğu, (viii) 346.905 e-posta adresinin ise kaynağının bilinmediği ve siber saldırgan tarafından saldırı esnasında sisteme yüklenen e-posta adresleri olduğu, (ix) İlgili kişilerin, veri sorumlusunun internet sitesinde (https://www.sunexpress.com/tr-tr/verilerin-korunmasi/) yer alan form aracılığıyla veri ihlali hakkında bilgi alabilecekleri bilgilerine yer verilmiştir.
- Ann & Robert H. Lurie Children’s Hospital of Chicago
Veri sorumlusu bünyesinde siber saldırı gerçekleşmesi sonucu siber suçluların 26-31 Ocak 2024 tarihleri arasında sistemlere erişim sağladığının tespit edildiği, (i) Dünya çapında yaklaşık 791.784 kişiyle ilişkili kişisel verilerin dışarı sızdırıldığının tespit edilmiş olduğu, bu bilgilerin hastalar ve hasta yakınları, mevcut ve eski Lurie Children’s ekip üyeleri ve aile üyeleri ile mevcut ve eski yüklenicilerle ilgili olduğu, (ii) Etkilenen verilerin kişiden kişiye değişiklik gösterdiği ve iletişim bilgileri, kimlik bilgileri veya bir hastanın sağlığı ya da tıbbi bakımıyla ilgili bilgiler olabileceği, (iii) İhlalden Türkiye’den etkilenen ilgili kişi sayısına ilişkin net bilgi bulunmadığı, (iv) İhlal ile ilgili detaylı bilgilere Lurie Children’s’ın internet sitesi “https://www.luriechildrens.org” adresini ziyaret ederek ve sayfanın üst kısmındaki “Cybersecurity Matter” linki üzerinden ulaşılabileceği bilgilerine yer verilmiştir.
- KİŞİSEL VERİLERİ KORUMA KURUMU ETKİNLİKLERİ VE DUYURULARI
2.1. Standart Sözleşmeler ve Bağlayıcı Şirket Kurallarına İlişkin Dokümanlar Hakkında Kamuoyu Duyurusu.
6698 sayılı Kişisel Verilerin Korunması Kanununun “Kişisel verilerin yurt dışına aktarılması” başlıklı 9 uncu maddesinde değişiklik yapılmıştır. Değişiklik kapsamında, “standart sözleşmeler” ve “bağlayıcı şirket kuralları” kişisel verilerin yurt dışına aktarımında veri sorumluları ve veri işleyenlerin başvurabileceği birer uygun güvence sağlama yöntemi olarak öngörülmüştür. Kişisel Verileri Koruma Kurumu tarafından hazırlanarak kamuoyu görüşüne açılan standart sözleşme ve bağlayıcı şirket kurallarına ilişkin taslak dokümanlar hakkında Kişisel Verileri Koruma Kurumu’na iletilen görüşler gözden geçirilmiş olup; Kişisel Verileri Koruma Kurulunun 4/6/2024 tarihli ve 2024/959 sayılı kararı ile kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinleri, bağlayıcı şirket kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar kabul edilmiştir ve Kişisel Verileri Koruma Kurumu internet sitesinde ilân edilmiştir.
2.2. Kurula İletilen Şikâyet ve İhbarlarda Sık Yapılan Hatalar Başlıklı Doküman 16 Temmuz 2024 Tarihinde Yayımlandı.
İlgililer tarafından Kurul’a iletilen şikâyet ve ihbarların 6698 sayılı Kişisel Verileri Koruma Kanunu ve Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’e uygun bir şekilde yapılması için hazırlanan doküman yayımlandı. Sıkça yapılan hatalar arasında eksik bilgi ve belge sunumu, başvuru yollarının yanlış kullanımı ve yasal sürelere ilişkin başlıklar bulunmaktadır.
Söz konusu dokümana buradan ulaşabilirsiniz.
- YURTİÇİNDE VE YURTDIŞINDA DİKKAT ÇEKEN GELİŞMELER
3.1. Ulusal Yapay Zekâ Stratejisi 2024-2025 Eylem Plan’ı Yayınlandı.
Yapay zekâ alanında güncel olarak yaşanan gelişmelerle ilişkili olarak 12. Kalkınma Planı kapsamında Ulusal Yapay Zekâ Stratejisi (‘’UYZS’’) Yönlendirme Kurulu, Ulusal Yapay Zekâ Stratejisi 2021-2025 Eylem Planı’nı güncelleyerek Ulusal Yapay Zekâ Stratejisi 2024-2025 Eylem Planı’nı yayımlamıştır. İşbu plan ile gelişmekte olan yapay zekâ teknolojisine uyumun hızlandırılacağı, yapay zekâ projelerine öncülük edileceği öngörülmektedir.
Ulusal Yapay Zekâ Stratejisi 2024-2025 Eylem Planına buradan ve planda dikkat çeken hususları aktardığımız yazımıza ise buradan ulaşabilirsiniz.
3.2. AI ACT (“Yapay Zeka Tüzüğü”), AB Komisyonu Tarafından Yayımlandı.
Avrupa Birliği (“AB”)’nin yapay zekâya (“YZ”) ilişkin yenilik ve gelişmeleri hukuki bir zemine oturtmak için uzun yıllardır süren uğraşlarının sonucunda, yapay zekâya ilişkin bir Yapay Zekâ Tüzük’ü (‘’Tüzük’’) 13 Temmuz 2024 tarihinde AB Komisyonu tarafından yayınlanmış olup 1 Ağustos 2024 tarihinde yürürlüğe girmiştir. Bu Tüzük ile yapay zekâ sistemlerinin zararlı etkilerinin azaltmak, yapay zekâ sistemlerine teşvik ve hukukun üstünlüğü benimsenerek insan odaklı bir yapay zekâ sistemi oluşturmak amaçlanmaktadır. Tüzük hazırlanırken risk temelli yaklaşım benimsenmiştir. Tüzük kapsamında uygulamaya aşağıda belirtilen aşamalı olarak geçiş gerçekleşecektir:
2 Şubat 2025 (Yürürlüğe Girmesinden 6 Ay Sonra):
|
AB devletleri yasaklanmış YZ sistemlerini kaldıracaktır. |
2 Ağustos 2025 (Yürürlüğe Girmesinden 12 Ay Sonra):
|
Genel amaçlı YZ modelleri için belirlenen yükümlülüklerin yürürlüğe girmesi.
|
2 Ağustos 2026 (Yürürlüğe Girmesinden 24 Ay Sonra):
|
Tüzük’ün Ek-3’ünde yer alan yüksek riskli YZ sistemleri için belirlenen yükümlülüklerin yürürlüğe girmesi. |
2 Ağustos 2027 (Yürürlüğe Girmesinden 36 Ay Sonra):
|
Başkaca bir AB mevzuatına tabi olan yüksek riskli YZ sistemleri için belirlenen yükümlülüklerin yürürlüğe girmesi. |
3.3. “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” 10.07.2024 Tarih ve 32598 sayılı Resmî Gazete’de Yayımlandı.
6698 sayılı Kişisel Verilerin Koruması Korunması Kanunu’nun (“Kanun”) 9. maddesi kişisel verilerin yurt dışına aktarılmasına dair usul ve esasları belirlemektedir. Kanun’un 9. maddesine dayanılarak çıkarılan Yönetmelik ile kişisel verilerin yurt dışına aktarılma usulleri belirlenmiştir. Yönetmelik’e göre kişisel verilerin yurt dışına aktarılabilmesi için Kanun’un 5. ve 6. maddesindeki hukuki sebeplerden biri olmalı ve aşağıdaki belirtilen hallerden biri gerçekleştirilmelidir:
- i) Kurul Tarafından Verilen Bir Yeterlilik Kararı Olması,
- ii) Yeterlilik Kararı Yoksa Yönetmelik’te Belirlenen Uygun Güvencelerden Biri Olması(yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi, ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları bağlayıcı şirket kurallarının varlığı ve Kurul tarafından onay verilmesi, veri aktaran ve veri alıcı arasında imzalanan standart sözleşmelerin varlığı, yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından onay verilmesi.),
iii) İstisnai (Arızi) Aktarım Hallerinin Varlığı,
Yönetmelik’e buradan ulaşabilirsiniz.
3.4. Rekabet Kurumu (‘’Kurum’’) Tarafından Google Hakkında İdari Para Cezası Yaptırımına Gerek Olmadığına Karar Verildi.
12.01.2023 tarihinde Google’ın 4054 sayılı Rekabetin Korunması Hakkında Kanun’un (‘’Kanun’’) 6. Maddesini ihlal etmesine ilişkin başlatılan soruşturma sona erdi. Soruşturma sürecinde, arama sonuç sayfasında hâkim durumun kötüye kullanılmadığı Google’ın genel arama hizmetleri pazarında hâkim durumda olduğu göz önünde bulunduruldu. Pazardaki hâkim durumu kötüye kullanma eylemleri kapsamında değerlendirilen soruşturmada Kurum tarafından Google’a idari para cezası yaptırımına gerek olmadığına hükmedildi. Önceki tarihli soruşturmalarda Kurum tarafından Google’a 1,25 milyar TL para cezası verilmiştir.
3.5. GDPR İhlali Sebebiyle İdari Para Cezasına Hükmedilen Spotify’ın Para Cezasında İndirim Sağlandı.
İsveç Veri Koruma Kurumu (‘’IMY’’) 12 Haziran 2023 tarihinde, kayıtlı müşterilerin kişisel veri ve bilgilere erişim taleplerini ele alması hakkında GDPR’a aykırılık tespit etmesi sebebiyle Spotify’a 58 Milyon İsveç Kronu para cezası verilmesine karar vermişti. Söz konusu olayda Spotify’in, GDPR Madde 12 (1) ve madde 15’i ihlal ettiği tespit edilmiş ancak konunun yargıya taşınması sonucunda idare mahkemesi, ihlalin IMY tarafından değerlendirildiği kadar kapsamlı olmadığı sebebiyle söz konusu para cezasının 40 Milyon İsveç Kronuna indirilmesine karar vermiştir.
3.6. Kişisel Verileri Koruma Kurumu Tarafından Çalışanların Kişisel Verilerini İçeren İhtarnamenin Birden Fazla Personele Gönderilmesi Sebebiyle Veri Sorumlusuna 100.000 TL Para Cezası Verildi.
Söz konusu şikâyet, kendisine ihtarname iletilen veri sahibi işçi tarafından ihtarnamede T.C. kimlik numarası ve adresi bulunması ve diğer çalışanlara da gönderilmesi sebebiyle Kurul’a yapılmıştır. Çalışan verilerinin birbirleriyle paylaşılması gündeme gelmiş ve söz konusu kişisel veri işleme faaliyeti, Kanun’da yer alan veri işleme şartlarına dayandırılmamıştır. İşbu durum sebebiyle veri sorumlusu hakkında 100.000 TL idari para cezası hükmedilmiştir.
Karara buradan ulaşabilirsiniz.
3.7. Avrupa Komisyonu, Meta’ya ‘’Ödeme ya da Rıza’’ (‘’Pay or Consent’’) Modelinin Dijital Piyasalar Yasası’nı (‘’DMA’’) İhlal Ettiğine İlişkin Ön Bulgular Gönderdi.
Komisyon’un bildirisi kapsamında ‘’Ödeme ya da Rıza’’ modelinin kullanıcıları kişisel verilerin işlenmesine rıza göstermeye zorladığı ileri sürülmüştür. DMA Madde 5 (2) uyarınca; kişisel verilerin işlenmesi için kullanıcıların onayı alınmalı eğer onay verilmiyorsa daha az kişiselleştirilmiş eşdeğer bir alternatif sunulmalıdır. Komisyon, Meta’nın ‘’Ödeme ya da Rıza’’ modelinin, kullanıcılara kişisel verilerin daha az kullanıldığı bir seçenek sunmaması sebebiyle Madde (5) 2 kapsamına aykırı olduğunu öngörmektedir. Komisyon, öngörüşlerinin nihai karara erdirilmesi sonucunda para cezasına hükmedebilecektir.