Kişisel Verilerin Korunması Alanında Ocak ve Şubat Ayında Neler Oldu?

• GENEL OLARAK
  • Ocak 2024’te Kişisel Verileri Koruma Kurumu’na (“Kurum”) CİMER dahil olmak üzere 711ihbar ve şikâyet yapıldı.
  • Ocak 2024’te Kişisel Verileri Koruma Kurumu tarafından 756 ihbar ve şikâyet sonuçlandırıldı.
  • Ocak ayında toplam 19 veri ihlal bildirimi Kurum’a intikal etti.
  • Kurul, 3 toplantı      da toplam 163 dosyayı karara bağladı.
  • Kurul Ocak ayı içerisinde toplam 8 konuda hukuki görüş verdi.
  • Kurum Ocak ayında 1veri ihlal bildirimini internet sitesinde yayımladı.
  • Kurum Ocak ayında 1 karar internet sitesinde yayımladı.

• 2 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI
• Dirk Rossmann Mağazacılık Ltd.Şti.
• Karel İletişim Hizmetleri A.Ş.

• 1 KURUL KARARI YAYIMLANDI
• Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması hakkında Kurulun 14/12/2023 Tarihli ve 2023/2135 Sayılı Kararı

1. VERİ İHLALİ BİLDİRİMi
   1. 1. Dirk Rossmann Mağazacılık Ltd.Şti. tarafından Kurul’a İletilen İhlal Bildirimi

Veri sorumlusu sıfatını haiz Dirk Rossmann Mağazacılık Ltd.Şti. tarafından Kurula iletilen veri ihlal bildirimlerinde; (i) İhlalin veri sorumlusuna ait internet sitesinde 27.12.2023 ile 09.01.2024 tarihleri arasında alışveriş yapan site kullanıcılarının verilerinin ele geçirilmesi ile gerçekleştiği; (ii) İhlalin site panelini yöneten üçüncü taraf teknoloji firması yetkilisinin parolasının ele geçirilmesi sonucunda gerçekleştiği; (iii) İhlalin veri sorumlusu tarafından gerçekleştirilen rutin güvenlik kontrolleri sırasında tespit edildiği; (iv) İhlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği; (v) İhlalden etkilenen kişisel veri kategorilerinin henüz tespit edilemediği; (vi) İlgili kişilerin e-posta ve çağrı merkezi aracılığıyla veri sorumlusundan kişisel veri ihlali hakkında bilgi alabileceği bilgilerine yer verilmiş olmakla beraber konuya ilişkin incelemenin devam ettiği duyurulmuştur.

1. 2. Karel İletişim Hizmetleri A.Ş. tarafından Kurul’a İletilen Veri İhlali Bildirimi

Veri sorumlusu sıfatını haiz Karel İletişim Hizmetleri A.Ş. tarafından Kurula iletilen veri ihlal bildirimlerinde özetle; (i) veri sorumlusunun 03.02.2024 tarihide fidye yazılım saldırısına maruz kaldığı, (ii) İhlal sonucunda veri sorumlusunun kullandığı muhasebe yazılımının veri tabanı, firma/abone ismi ve borç/alacak bakiyesi ile veri sorumlusunun finansal bilgilerini içeren birkaç dokümanın saldırgan tarafından şifrelendiği ve ele geçirildiği, (iii) ihlalden etkilenen kişi gruplarının aboneler/üyeler, müşteriler ve potansiyel müşteriler olduğu, (iv) ihlalden etkilenen kişisel veri kategorilerinin kimlik (ad, soyad, TC kimlik numarası) ve iletişim (adres, telefon numarası ve e-posta adresi) olduğu, (v) İhlalden etkilenen ilgili kişi sayısının tahmini 1254 olduğu, tespit çalışmalarının devam ettiği, (vi) İlgili kişilerin [email protected] e-posta adresi ve 0 (800) 666 0 666 numaralı telefon aracılığıyla veri sorumlusundan kişisel veri ihlali hakkında bilgi alabileceği bilgilerine yer verilmiş olmakla birlikte konuya ilişkin incelemenin devam etmekte olduğu duyuruldu.

2. KURUL KARARI

• Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması hakkında Kurulun 14/12/2023 Tarihli ve 2023/2135 Sayılı Kararı

Kişisel Verileri Koruma Kurulu tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesinin (2) numaralı fıkrası ile Veri Sorumluları Sicili Hakkında Yönetmelik’in 16’ncı maddesinin (1) numaralı fıkrası çerçevesinde yapılan inceleme neticesinde, Köy kamu tüzel kişiliklerinin Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmiştir. Bu karar 12 Ocak 2024 tarihinde Resmî Gazetede yayımlanmış ve Kurumun internet sitesinde duyurulmuştur.

3. KİŞİSEL VERİLERİ KORUMA KURUMU ETKİNLİKLERİ VE DUYURULARI

3.1. 28 Ocak Veri Koruma Etkinliği Gerçekleştirildi.

Kurum ve Türkiye Akademisi iş birliğinde 28 Ocak Veri Koruma Etkinliği gerçekleştirilmiştir. Etkinlik, kişisel verilerin korunması alanındaki suç ve kabahatler ile kişisel verileri koruma kurulu inceleme süreçleri ve kurul kararlarına karşı yargı süreçlerinin değerlendirilmesi konularını ele alınmıştır.

3.2. Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber Yayımlandı.

Türkiye Cumhuriyeti (T.C.) kimlik numaralarının işlenmesi faaliyetlerinde dikkat edilmesi gereken hususlar kapsamında rehber yayımlanmıştır. İşbu rehber kapsamında, T.C. kimlik numaralarının 6698 sayılı KVKK ve ikincil mevzuatlara uygun olarak işlenmesi hususuna ilişkin tavsiyeleri içermektedir.

3.3. Seçim Faaliyetlerine ilişkin Kişisel Verilerin Korunması Rehberi Yayımlandı.

Kurum tarafından, seçim faaliyetlerinde yer alan kamu idarelerine, siyasi partilere, adaylara ve seçmenlere Kanun kapsamında yerine getirmeleri gereken yükümlülüklerin veya sahip oldukları hakların hatırlatılması amacıyla, seçim faaliyetleri kapsamında işlenen muhtelif kişisel verilere ilişkin olarak rehber yayımlanmıştır.

3.4. Deepfake Bilgi Notu Yayımlandı.

19.01.2024 tarihinde Kurum tarafından DeepFake Bilgi Notu yayınlanmıştır.  İlgili Bilgi Notu’nda; DeepFake’in tanımına, ne için kullanıldığına, kişisel veriler açısından oluşturduğu tehditlere, nasıl tespit edilebileceğine ve DeepFake teknolojisine karşı kişilerin ve kurumların neler yapabileceğine ilişkin bilgilere yer verilmiştir.

3.5. Dijital Çağda Kişisel Veri Güvenliği Konferansı Gerçekleştirildi.

KKTC Bilgi Teknolojileri Haberleşme Kurumu’nda (BTHK) düzenlenen etkinlikte konuşan Kurum Başkanı Prof. Dr. Faruk BİLİR, Kişisel Verileri Koruma Kurumu olarak, Türkiye’nin Kuzey Kıbrıs Türk Cumhuriyeti ile sarsılmaz birlikteliğini veri koruma alanında da sağlamak istediklerini dile getirdi. Daha önce Kurum ile KKTC Kişisel Verileri Koruma Kurulu arasında söz konusu iş birliğinin artırılmasının önem taşıdığını belirtti. Faruk BİLİR, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında bilgiler de paylaşarak, kişisel veri güvenliğinin sağlanmasına yönelik önem arz eden hususları da ifade etti.

3.6. “Yapay Zekâ Sistemleri ve Hukuki Etkileri” Konulu Çarşamba Semineri Düzenlendi.

Özyeğin Üniversitesi Hukuk Fakültesinde görevli Dr. Öğr. Üyesi Başak OZAN ÖZPARLAK’ın konuşmacı olarak katıldığı Seminerde, genel olarak yapay zekanın tarihi gelişimi, yapay zekâ ile ilgili güncel gelişmeler ve bu alandaki hukuki düzenlemeler ele alındı. Sunumunda Avrupa Birliği Yapay Zekâ Kanunu’ndan bahseden ÖZPARLAK, bu konudaki diğer hukuki çalışmalara ve Ulusal Yapay Zeka Stratejisi’ne değindi.

3.7. Kişisel Verilerin Korunması Semineri Erzurum’da Düzenlendi.

2 Şubat 2024 tarihinde, Erzurum Valiliği tarafından düzenlenen personel eğitim seminerleri kapsamında Kişisel Verileri Koruma Kurulu Üyesi Sayın Şaban Baba ve Kişisel Verileri Koruma Uzmanı Mustafa Şeref İşcan’ın sunumlarıyla “Kişisel Verilerin Korunması” konulu seminer düzenlendi. Açılış konuşmasını yapan Erzurum Valisi Sayın Mustafa Çiftçi: “Kişisel verilerin korunması kapsamında genel veya özel nitelikli kişisel verilerin işlenmesi, depolanması ve saklanması konuları büyük önem arz ediyor. Bu eğitim semineriyle maksadımız hem kendi bilgilerimizi tazelemek, hem de personelimizi eksiklik hissettiği konularda donanımlı hale getirmektir.”dedi.  Seminerde Kişisel Verileri Koruma Kurulu Üyesi Sayın Şaban Baba ve Kişisel Verileri Koruma Uzmanı Sayın Mustafa Şeref İşcan, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında; kişisel verilerin işlenmesi ve buna yönelik ilkeler, veri işleyenlerin yükümlülükleri, mahremiyet, güvenlik ve aydınlatma yükümlülüğü gibi konularda bilgiler verdi.

4. YURTİÇİNDE VE YURTDIŞINDA DİKKAT ÇEKEN GELİŞMELER

4.1. Taahhütname Başvurusunun Kabulü Hakkında Duyuru Yapıldı.

Celltrion Healthcare İlaç Sanayi ve Limited Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kişisel Verileri Koruma Kurulu (Kurul) tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun 9 uncu maddesinin 2’nci fıkrasının (b) bendi kapsamında değerlendirilerek 25.01.2024 tarihinde Kurul tarafından söz konusu veri aktarımına izin verilmiştir.

4.2. Hollanda Veri Koruma Otoritesi (“AP”) International Card Services B.V. firmasına 150.000 Euro Para Cezası Verdi.

AP, veri sorumlusu International Card Services B.V.’nin ilgili kişilerin özel nitelikli verilerini işlemeye başlamadan önce Veri Koruma Etki Analizi yapmamasını ilgili hukuka aykırı bularak veri sorumlusuna 150.000 Euro para cezası vermiştir.

4.3.İngiltere Veri Koruma Otoritesi (“ICO”), Hellofresh’e 140.000 İngiliz Strelini Para Cezası Verdi.

Gıda dağıtım şirketi olan Veri sorumlusu HelloFresh, 7 aylık süreç içerisinde ilgili kişilere 79 milyon spam e-posta ve 1 milyon spam mesaj göndermiştir. Karara konu olan bu olayda, pazarlama amaçlı iletişime geçileceği konusunda açıklık içermeyen rıza alım sistemleri kullanılmış ve pazarlamaya yönelik iletişim onayı, yaş onaylama metninin içerisine sıkıştırılmıştır. İlgili kişiler, aboneliklerinin bitiminden 24 ay sonraya dek verilerinin işleneceği hakkında bilgilendirilmemişlerdir. Buna ek olarak rızasını geri alan ilgili kişilere söz konusu spam mesajlar gönderilmeye devam edilmiştir. ICO, bu bilgilere dayanarak veri sorumlusu hakkında 140.000 Euro değerinde para cezası vermiştir.

4.4. Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu Yayımlandı.

Yayımlanan bilgi notunda, 6698 sayılı Kanun’nun 5. maddesinin 2. Fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülme” kişisel veri işleme şartı hakkında işbu bilgi notu hazırlanmış ve bilgi notunda; ilk olarak Türk Hukuku kapsamında değerlendirmeler yapılmış, daha sonra AB hukuku kapsamında değerlendirme yapılmıştır.

Kurum, ilgili maddede öngörülen “açıkça” ibaresinin yönelik lafzi yorum yapılmaması gerektiğini belirtmiştir. Bu durumda örnek olarak da 4857 sayılı Kanun’un 8. maddesi gereğince işveren tarafından işçiye ücret ödenmesini örnek olarak göstermiştir. Bu kapsamda işlenecek veriler de işçinin banka hesap numarası, medeni hal bilgisi, bakmakla yükümlü olduğu kişilerin bilgileri, eşinin iş durumu, sosyal sigorta numarası vb. bilgiler) olarak sayılmıştır.

Bununla yanında bilgi notunda; 6698 sayılı Kanun’da sayılan hukuki sebeplerden; “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” ile “kanunlarda açıkça öngörülmesi” işleme şartlarının AB Veri Koruma Tüzüğü’nde (“GDPR”) ayrı düzenlenmediği ve tek bir madde olarak düzenlendiğinden bahsedilmiştir (GDPR 6/1-c). Rehberde, GDPR 6/1-c maddesinin; kişisel veri işleme şartının kanun veya ikincil düzenlemeye dayanabileceğini düzenlendiği de belirtilmiştir.

Bilgi Notu’na buradan erişebilirsiniz.

4.5. KVKK Bülteni’nin Üçüncü Sayısı Yayımlandı.

Bültenin konusu; “Çevrim içi Mahremiyet ve Çerezler” olarak belirlendi. Bülten içerisinde Doç. Dr. Hüseyin Can Aksoy tarafından hazırlanan Çerezler 101 adlı köşe yazısı yer aldı. Bu kapsamda; çerez tanımı, çerezlerin ne amaçla kullanıldığı, çerezlerin kötü olup olmadıkları, Türk Hukukundaki Çerez Düzenlemeleri (5809 sayılı Elektronik Haberleşme Kanunu’nun ilgili maddeleri) hakkında detaylara yer verildi. 

Bülten’de ayrıca Kurum’un Veri Güvenliği ve Bilgi Sistemleri Dairesi Başkanı Sayın Ersin Can ile Günlük Dijital Deneyimimizde Çerezlerin Rolü ve Çerezler Yoluyla Kişisel Veri İşlenmesi röportajına yer verildi.

Bülten’de Çerez Uygulamaları Hakkında Rehber’den bilgiler ve Çerezlere dair iyi/kötü uygulama örnekler de yer aldı.

Bülten’e hakkında detaylı bilgiye buradan ulaşabilirsiniz.

4.6. Florida’da Çocukların Kişisel Verilerinin İşlenmesi Hakkında Yeni Yasal Düzenleme.

Florida’da, 16 yaşından küçük çocukların sosyal medya kullanmasını yasaklayan yasa tasarısı Temsilciler Meclisi tarafından kabul edildi. Bunun sonucunda düzenleme Senato’ya bildirildi.

Bu düzenleme ile artık 16 yaşından küçük çocukların sosyal medya hesabı oluşturmaları yasaklandı. 16 yaşından küçük çocukların mevcut sosyal medya hesapları ve bu hesaplardan ulaşılabilen her türlü kişisel verinin silinmesi için ise, sosyal medya hesabının açıldığı ilgili platformlara yükümlülük yüklendi. Bu platformlara yüklenen diğer bir yükümlülük de kullanıcının yaşını doğrulamak için, sosyal medya platformu ile bağlantısı olmayan, sivil ve bağımsız bir 3. Taraftan hizmet almaları oldu.

4.7. Fransa Veri Koruma Otoritesi (“CNIL”) Tarafından Amazon’un Lojistik Şirketi’ne 32 Milyon Euro Para Cezası Kesildi.

Söz konusu ceza, Amazon’un lojistik şirketinin, çalışanların faaliyetlerini ve performanslarını izlemeye yönelik olarak “aşırı müdahaleci” bir sistem kurması nedeniyle kesildi. CNIL tarafından, Amazon’un çalışanlarına önceden gerekli bilgilendirmeleri yapmaksızın ve yeterli güvenlik önlemleri alınmaksızın video ile gözetim faaliyeti gerçekleştirdiği tespitlerinde bulunuldu.