Kişisel Verilerin Korunması Alanında Nisan Ayında Neler Oldu?
1 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI
- Yamaha Motor Europe N.V.
- TTZ Pazarlama Plastik San. Ltd. Şti.
- Titiz Plastik Dış Ticaret ve San. Ltd. Şti.
- Spor Ayakkabı Teks. Ve Spor Malz. Tic. Ltd. Şti.
- Modaselvim Tekstil San. Ve Tic. A.Ş.
- Abi International Dış Tic. Ltd. Şti.
- Akıl Plastik San. Ve Tic. Ltdi. Şti.
VERİ İHLALİ BİLDİRİMLERİ
Yamaha Motor Europe N.V. Tarafından Kurul’a İletilen Veri İhlali Bildirimi
Veri sorumlusu sıfatını haiz Yamaha Motor Europe N.V. tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) Bağımsız bir siber güvenlik araştırmacısının, veri sorumlusunun Müşteri Kayıt Yönetimi (CRM) sisteminde bulunan bir güvenlik açığını veri sorumlusuna bildirmesi üzerine ihlalin 26.03.2024 tarihinde tespit edildiği, (iii) İhlalin başlama tarihinin net olarak bilinmediği, 2019 yılında başlamış olabileceği, (iv) Güvenlik açığının, CRM sistemi üzerinde çalışan müşteri portalındaki hatalı bir yapılandırmadan kaynaklandığı ve bu hatalı yapılandırma nedeniyle, kayıtlı herhangi bir kullanıcının, diğer kullanıcıların kişisel verilerine erişebildiğinin tespit edildiği, (v) CRM sistemine 2021 yılı ve öncesinde eklenen tüm müşteri kayıtlarının bu güvenlik açığından etkilendiğinin düşünüldüğü, (vi) Türkiye’den 35.988 kişinin ihlalden etkilenmiş olabileceği, (vii) İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu, (viii) İhlalden etkilenen kişisel verilerin; ad-soyad, cinsiyet, e-posta adresi, (dahili) müşteri numarası verileri ile az sayıda kişi için ise bunlara ek olarak posta adresi ve telefon numarası verileri olduğu bilgilerine yer verilmiştir. Konuya İlişkin incelemenin devam etmekte olduğu duyurulmuştur.
TTZ Pazarlama Plastik San. Ltd. Şti. Tarafından Kurul’a İletilen Veri İhlali Bildirimi
Veri sorumlusu sıfatını haiz TTZ Pazarlama Plastik Sanayi Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) Bir siber saldırı sonucunda ihlalin gerçekleştiği, şirket verilerinin bir kısmının şifrelendiği ve veri sorumlusundan fidye talep edildiği, (ii) İhlalin 13.04.2024 tarihinde başladığı ve 19.04.2024 tarihinde tespit edildiği, (iii) İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu, (iv) İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu, (v) İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği, (vi) İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu, ilgili kişilerin, [email protected] e-posta adresi aracılığıyla veri ihlali hakkında bilgi alabilecekleri ifade edilmiştir. Konuya ilişkin incelemenin devam etmekte olduğu duyurulmuştur.
Titiz Plastik Dış Ticaret ve San. Ltd. Şti. Tarafından Kurul’a İletilen Veri İhlali Bildirimi
Veri sorumlusu sıfatını haiz Titiz Plastik Dış Ticaret ve Sanayi Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle;
Bir siber saldırı sonucunda ihlalin gerçekleştiği, şirket verilerinin bir kısmının şifrelendiği ve veri sorumlusundan fidye talep edildiği, (i) İhlalin 13.04.2024 tarihinde başladığı ve 14.04.2024 tarihinde tespit edildiği, (ii) İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu, (iii) İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu, (iv) İhlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği, (v) İhlalden etkilenen ilgili kişi gruplarının çalışanlar, müşteriler ve potansiyel müşteriler olduğu, İlgili kişilerin, [email protected] e-posta adresi aracılığıyla veri ihlali hakkında bilgi alabilecekleri ifade edilmiştir. Konuya ilişkin incelemenin devam etmekte olduğu duyurulmuştur.
SporPark Ayakkabı Teks. ve Spor Malz. Tic. Ltd. Şti. Tarafından Kurul’a İletilen Veri İhlali Bildirimi
Veri sorumlusu sıfatını haiz SporPark Ayakkabı Teks. ve Spor Malz. Tic. Ltd. Şti. tarafından Kurula iletilen veri ihlal bildiriminde özetle;
Siber saldırganlarca veri sorumlusu sistemlerinde kayıtlı bir kişinin kullanıcı adı ve şifresinin elde edilerek sistemde kayıtlı diğer kullanıcılara ait verilerin ele geçirilmesi neticesinde veri ihlali gerçekleştiği, (i) İhlalin 01.11.2023 tarihinde başladığı ve 21.04.2024 tarihinde tespit edildiği, (ii) Siber saldırganlarca altı ay boyunca sistemde kayıtlı kullanıcı adları ve şifrelerinin ele geçirildiğinin belirtildiği, (iii) İhlalden etkilenen kişisel verilerin; kimlik, iletişim, lokasyon ve müşteri işlem verileri olduğu, (iv) İhlalden etkilenen kişi sayısının tespit edilemediği, (v) İhlalden etkilenen ilgili kişi grubunun; çalışanlar, kullanıcılar, üyeler ve müşteriler olduğu, (vi) Veri sorumlusuna ait internet sitesinin www.slazenger.com.tr olduğu, (vii) İlgili kişilerin, veri sorumlusuna ait 08504807616 numaralı çağrı merkezi aracılığıyla veri ihlali hakkında bilgi alabileceği ifade edilmiştir. Konuya ilişkin incelemenin devam etmekte olduğu duyurulmuştur.
Modaselvim Tekstil San. Ve Tic. A.Ş. Tarafından Kurul’a İletilen Veri İhlali Bildirimi
Veri sorumlusu sıfatını haiz Modaselvim Tekstil San. ve Tic. A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) İhlalin; veri sorumlusunun yetkilisinin kullanıcı bilgilerinin ele geçirilmesi sonucunda sistemlere yetkisiz erişim sağlanması ile gerçekleştiği, (ii) İhlalden 20.04.2024 tarihinde gelen şantaj e-posta ile haberdar olunduğu ancak ne zaman başladığının tespit edilemediği, (iii) İhlalden etkilenen kişi gruplarının kullanıcılar, aboneler/üyeler ve müşteriler olduğu, (iv) İhlalden kimlik ve iletişim verilerinin etkilendiği, (v) İhlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği, tespit çalışmalarının devam ettiği, (vi) İlgili kişilerin çağrı merkezi aracılığıyla veri sorumlusundan kişisel veri ihlali hakkında bilgi alabileceği ifade edilmiştir. Konuya ilişkin incelemenin devam etmekte olduğu duyurulmuştur.
Abi İnternational Dış Ticaret Limited Şirketi Tarafından Kurul’a İletilen Veri İhlali Bildirimi
Veri sorumlusu sıfatını haiz Abi İnternational Dış Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) Bir siber saldırı sonucunda ihlalin gerçekleştiği, şirket verilerinin bir kısmının şifrelendiği ve veri sorumlusundan fidye talep edildiği, (ii) İhlalin 13.04.2024 tarihinde başladığı ve 22.04.2024 tarihinde tespit edildiği, (iii) İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu, (vi) İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu, (v) İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği, (vi) İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu, (vii) İlgili kişilerin, [email protected] kayıtlı elektronik posta (KEP) adresi aracılığıyla veri ihlali hakkında bilgi alabilecekleri bilgilerine yer verilmiştir. Konuya ilişkin incelemenin devam etmekte olduğu duyurulmuştur.
Akıl Plastik Sanayi ve Ticaret Limited Şirketi Tarafından Kurul’a İletilen Veri İhlali Bildirimi
Veri sorumlusu sıfatını haiz Akıl Plastik Sanayi ve Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) Bir siber saldırı sonucunda ihlalin gerçekleştiği, şirket verilerinin bir kısmının şifrelendiği ve veri sorumlusundan fidye talep edildiği, (ii) İhlalin 13.04.2024 tarihinde başladığı ve 22.04.2024 tarihinde tespit edildiği, (iii) İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu, (vi) İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu, (v) İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği, (vi) İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu, (vii) İlgili kişilerin, [email protected] kayıtlı elektronik posta (KEP) adresi aracılığıyla veri ihlali hakkında bilgi alabilecekleri bilgilerine yer verilmiştir. Konuya ilişkin incelemenin devam etmekte olduğu duyurulmuştur.
2. KİŞİSEL VERİLERİ KORUMA KURUMU ETKİNLİKLERİ VE DUYURULARI
2.1. Kişisel Verileri Koruma Kurulu ile Kuzey Kıbrıs Türk Cumhuriyeti (KKTC) Arasında İş Birliği Protokolü İmzalanmıştır.
Kuzey Kıbrıs Türk Cumhuriyeti Kişisel Verileri Koruma Kurulu arasında, ülkelerin kendi kanun ve düzenleyici işlemlerine uyulmasını ve bunların uygulanmasını sağlamak ve özellikle kendi ülkelerindeki ve bölgelerindeki mahremiyet ve kişisel verilerin korunması alanında insan hak ve özgürlüklerinin daha kapsamlı bir şekilde korunmasına katkıda bulunmak için iş birliği ve bilgi alışverişinde bulunmak amacıyla iş birliği Protokolü imzalanmıştır.
3. YURTİÇİNDE VE YURTDIŞINDA DİKKAT ÇEKEN GELİŞMELER
3.1. Avrupa Komisyonu, Veri Yasası’na ilişkin genel bir bakış sunan rehberini yayımladı.
Söz konu rehberde, verilerin, özellikle endüstriyel verilerin, daha erişilebilir ve kullanılabilir hâle getirilmesi, veriye dayalı inovasyonu teşviki ve verilerin kullanılabilirliğini arttırılması amacıyla AB’nin veri ekonomisini geliştirme ve rekabetçi bir veri pazarını teşvik etme gibi amaçları gerçekleştirmek üzere tasarlanmış Veri Yasası’nın kapsamı, hedefleri ve pratikte nasıl uygulanacağı gibi hususlara yer verilmiştir.
3.2. Reklam Kurulu Tarafından 3,5 Ayda Toplam 94 Milyon TL Ceza Kesildi.
Ticaret Bakanlığı tarafından Reklam Kurulu’nun “Aldatıcı Reklamlar ve Haksız Ticari Uygulamalar” için 3,5 ayda 94 milyon TL ceza kestiği duyuruldu.
3.3. AB Yapay Zeka Yasası’nın (AI Act) yürürlüğe girmesi için gerekli olan gözden geçirilmiş versiyonu yayımlandı.
Bu versiyonun son halinde buradan erişebilirsiniz.
3.3. Meta’nın Threads Uygulaması 29 Nisan Tarihinden İtibaren Türkiye’de Kapatılıyor.
Rekabet Kurulu, Meta’nın Instagram hesaplarına dayalı Threads profili oluşturan kullanıcı verilerini, kullanıcılara onay seçeneği sunmaksızın birleştirmesinin; soruşturma tamamlanana kadar telafisi güç zararlara yol açacağını değerlendirerek geçici tedbir kararı vermişti. Rekabet Kurulu tarafından yürütülen soruşturma kapsamında: (i) Meta’nın pazarda uzun yıllardır faaliyet göstermesi sebebiyle kapsamlı ve detaylı bir veri birikimine sahip olduğu, (ii) Meta’nın sahip olduğu kullanıcı tabanın büyüklüğü ve çeşitliliğinin, reklam verenler bakımından Meta hizmetlerini cazip hale getirdiği ve söz konusu durumun Meta’ya hizmet geliştirme amacıyla daha fazla kaynak ayırabilmesine imkân sağladığı ve rakiplerin reklam verenlere ve dolayısıyla finansal kaynaklara erişimini zorlaştırdığı, bu çerçevede Meta’nın faaliyetlerinin pazarda giriş engeli oluşturduğu, (iii) Ayrıca, Meta’nın sunduğu temel hizmetler ve ilişkili hizmetler ile birlikte bir ekosistem olarak faaliyette bulunduğu, bu durumun, Meta’nın her bir hizmetten edindiği gücü ve birikimi diğer bir hizmetine aktarmasını mümkün kıldığı ve pazar gücünü arttırdığı tespit edildi. Bu soruşturma kapsamında Meta, Threads’in, Rekabet Kurulu tarafından verilen tedbir kararına uymak amacıyla 29 Nisan’dan itibaren Türkiye’de kapatılacağını duyurdu.
3.4. Avrupa Parlamentosu GDPR Prosedürler Yönetmeliğini Onayladı.
10 Nisan 2024 tarihinde Avrupa Parlamentosu, Genel Veri Koruma Tüzüğü (GDPR)’ın uygulanmasına ilişkin ek usul kurallarını belirleyen bir yönetmelik önerisi lehinde oy kullandı. Bu düzenleme, GDPR prosedürlerini daha verimli hale getirecek ve diğer hususların yanı sıra Veri Koruma Otoriteleri (DPA) önünde dinlenilme hakkını getirecek, yetkililerin yanıtları için net son tarihler belirleyecek ve genel olarak iş birliğini güçlendirecektir. Bundan sonraki süreçte yönetmelik, Konsey, Parlamento ve Komisyon tarafından üçlü gruplar halinde incelenecek.
3.5. İtalya Veri Koruma Otoritesi Tarafından Kesilen 25.000 Euro’luk İdari Para Cezası.
İtalya Veri Koruma Otoritesi, bir sistem güncellemesinden sonra 22.000’den fazla kullanıcının kişisel verilerini içeren bir yedek kopyayı silmemesi ve bu verilerin sakladığı ortamda zayıf parola şifrelemesi kullandığı için bir veri işleyene 25.000 € para cezası verdi.
3.6. Bir Telekom Operatörünün Müşteri Verilerini Saklama Süresine İlişkin Finlandiya Veri Koruma Otoritesi Tarafından Verilen Karar.
Finlandiya Veri Koruma Otoritesi’ne bildirilen ihbarda, bir telekom operatörünün (veri sorumlusu) veri sahibinin müşteri ilişkilerine ilişkin kişisel verilerini silmeyi reddettiği iddia edilmiştir. Bunun üzerine Veri Koruma Otoritesi, veri sorumlusundan silme talebini neden reddettiğini ve müşterilerinin kişisel verilerini ne kadar süreyle sakladığını açıklamasını istemiştir. Talebe cevaben veri sorumlusu, GDPR Madde 17/3 (e) uyarınca işlemenin gerekli olması nedeniyle veri sahibinin talebine uyamayacağını açıklamıştır. Veri Sorumlusu, Borçların Sona Ermesine ilişkin Finlandiya Yasası’nın 4. bölümü uyarınca, borçlar için genel sona erme sınırının üç yıl olduğunu belirtmiştir. Bu nedenle, veri sorumlusu, müşteri ilişkisinin sona ermesinin üzerinden üç yıl geçmediği için kişisel verileri silememiştir. Veri sorumlusu ayrıca, üç yıldan eski müşteri verilerinin otomatik bir silme işlemi aracılığıyla sistemlerinden silinmesi gerektiğini, ancak teknik bir hata nedeniyle bunun yapılmadığını belirtmiştir. Ancak veri sorumlusu, veri sahibinin kişisel verilerini daha sonraki bir aşamada manuel olarak sildiğini belirtmiştir.
Veri Koruma Otoritesi, veri sorumlusu tarafından sağlanan bilgilere dayanarak, veri sorumlusunun veri sahibinin kişisel verilerini müşteri ilişkisinin sona ermesinden sonra üç yıl boyunca saklama hakkına sahip olduğunu değerlendirmiştir. Veri Koruma Otoritesi, veri sorumlusunun veri sahibinin kişisel verilerini silmesi halinde, müşterilerin veya diğer alacaklıların olası faturalandırma taleplerine karşı kendisini savunamayacağını belirtmiştir.
Bununla birlikte, Veri Koruma Otoritesi, veri sahibinin talebine rağmen, veri sahibinin talebinden önce bile sistemlerinden kaldırılması gereken söz konusu kişisel verileri silmediği için kontrolörün GDPR Madde 17/3 (e)’yi ihlal ettiğine karar vermiştir. Sonuç olarak, Veri Koruma Otoritesi, GDPR Madde 58/2 (b) uyarınca kontrolöre kınama cezası vermiştir.