KİŞİSEL VERİLERİN KORUNMASI ALANINDA EYLÜL AYINDA NELER OLDU?

2 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI

• İncirli Sağlık ve Sosyal Tesisler A.Ş.
• Kentaş Gıda Pazarlama ve Dağıtım Ticaret Ltd. Şti.
• VERİ İHLALİ BİLDİRİMİ
• İncirli Sağlık ve Sosyal Tesisler A.Ş.

Veri sorumlusu sıfatını haiz olan İncirli Sağlık ve Sosyal Tesisler A.Ş. tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle; (i) İhlalin; veri sorumlusunun bilişim sistemine dışarıdan müdahale edilerek kayıtlı olan tüm uygulamalar dahil tüm verilerin silinmesi, yok edilmesi ve yedeklerinin imha edilmesi şeklinde gerçekleştiği, (ii) İhlalin 14.08.2024 tarihinde başladığı, 04.09.2024 tarihinde sona erdiği, (iii) İhlalden etkilenen kişi grubunun çalışanlar ve hastalar olduğu, (iv) İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, sağlık bilgileri, cinsel hayat, biyometrik veri, genetik veri kategorileri olduğu, (v) Tüm kayıtların silinmesi sebebi ile veri sorumlusunda şimdiye kadar çalışmış olan tüm personel ile ayakta ve yatan hasta sayısının bilinmesinin mümkün olmadığı ancak ihlalden etkilenen kişi sayısının tahmini 1000 ve üzeri olduğu, (vi) İlgili kişilerin veri sorumlusu internet adresi ve çağrı merkezinden bilgi alabileceği ifade edilmiştir.

• Kentaş Gıda Pazarlama ve Dağıtım Ticaret Ltd. Şti.

Veri sorumlusu sıfatını haiz olan Kentaş Gıda Pazarlama ve Dağıtım Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) 12.09.2024 tarihinde fidye yazılımı saldırısına maruz kalındığı ve dosyaların şifrelendiği, (ii) İhlalden muhasebe programına ait bilgilerin etkilendiği, dolayısıyla muhasebeyle ilgili fatura bilgileri ile veri sorumlusuna ait resmi defterlere, borç/alacak hesaplarına ve sistemde kayıtlı olan personel adres ve kimlik numaralarına ulaşıldığının tahmin edildiği, (iii) İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve müşteriler ile potansiyel müşteriler olduğu, (iv) İhlalden tahmini 1000 kişinin etkilendiği, (v) İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, müşteri işlem, işlem güvenliği, finans, pazarlama olduğu bilgilerine yer verilmiştir.

2. KİŞİSEL VERİLERİ KORUMA KURUMU ETKİNLİKLERİ VE DUYURULARI

2.1. VERBİS’e Kayıt Yükümlülüğünü Yerine Getirmeyen Veri Sorumluları Hakkında 13.09.2024 Kamuoyu Duyurusu Yayınlandı.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’Kanun’’) 16. maddesi gereğince kişisel veri işleyen veri sorumluları, Veri Sorumluları Siciline kayıt ve bildirim yapmak zorundadır. Kanun’un 18. maddesi hükmü gereği ise sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen inceleme yapılmaktadır. Sicile kayıt ve bildirim yükümlülüğü bulunduğu tespit edilen yaklaşık 130.600 veri sorumlusunun bu yükümlülüğü yerine getirmediği saptanmış ve 16.350 veri sorumlusu veri sorumlusu hakkında Kurul tarafından Kanun’un 18. maddesi uyarınca VERBİS incelemesi yapılmasına ve idari para cezası uygulanmasına karar verilmiştir. Kurul 01.08.2024 tarihi itibariyle 503.935.000 TL idari para cezası düzenlemiş olup kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarına da disiplin hükmü uygulamıştır.

2.2. ‘Siber Dünya ve Kişisel Verilerin Korunması’ Etkinliği Gerçekleştirildi.

Anadolu Bilişim Buluşmaları kapsamında gerçekleştirilen etkinlikte kişisel verileri koruma çerçevesinde siber güvenliğe ilişkin uygulamalar, alanında uzman isimler tarafından ele alındı. Kişisel Verileri Koruma Kurumu (‘’Kurum’’) Başkanı Faruk Bilir, Kurum’a intikal eden şikayetler ve ihlaller kapsamında gerçekleştirilen soruşturmalara ait istatiksel verileri açıkladı:

‘’Kişisel Verileri Koruma Kurumu’na, faaliyete geçtiği günden bugüne 43 bin 665 ihbar, şikâyet ve başvuru yapıldı. Bunlardan 42 bin 33’ü sonuçlandırıldı. Yapılan incelemeler sonucu 831 milyon 611 bin lira idari yaptırım uygulanması kararlaştırıldı. Ayrıca Kuruma gelen 1519 veri ihlal bildiriminden 345’i Kurumun resmi internet sayfasından ilan edildi. Bugüne kadar görev alanına giren konularda 1153 hukuki görüş verildi, yurt dışına kişisel veri aktarımıyla ilgili yeterli nitelikleri taşıyan 10 taahhütname onaylandı. (…) Standart sözleşmelerle ilgili ise; şu ana kadar Kuruma bildirimde bulunulan standart sözleşme sayısı 469’dur.’’

3. YURTİÇİNDE VE YURTDIŞINDA DİKKAT ÇEKEN GELİŞMELER

3.1. Avrupa Konseyi (‘’Konsey’’), Yapay Zekaya İlişkin İlk Küresel Anlaşmayı İmzaya Açtı.

Yapay Zekâ ve İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Çerçeve Sözleşmesi (‘’Sözleşme’’), Avrupa Konseyi Adalet Bakanları Konferansında imzaya açıldı. Sözleşme, Andorra, Gürcistan, İzlanda, Norveç, Moldova Cumhuriyeti, San Marino, Birleşik Krallık, Amerika Birleşik Devletleri, İsrail ve Avrupa Birliği tarafından imzalandı. Söz konusu sözleşme insan hakları ve hukukun üstünlüğü çerçevesinde hazırlanan yasal bağlayıcılığa sahip ilk uluslararası anlaşma olma niteliğini taşımaktadır. Sözleşme yapay zekânın niteliklerini öne çıkarırken yaşanabilecek insan hakları, demokrasi ve hukuki ihlallerin de altını çizmiştir.

Söz konusu sözleşmeye buradan ulaşabilirsiniz.

3.2. Birleşik Krallık Veri Koruma Otoritesi (‘’ICO’’) Tarafından SkyBetting ve Gaming Hakkında İşlem Başlatıldı.

Reklam çerezlerini onaylama ya da reddetme seçeneğini sunmadan kullanıcıların kişisel verilerini izinsiz bir şekilde işleyerek reklam hedefleme için kullanılabilir hale getiren şirketler SkyBetting ve Gaming hakkında soruşturma başlatıldı. Soruşturma sonucunda bahse konu şirketler kişisel verilerin paylaşılmadan önce reklam çerezlerinin reddini sağlayabilmek için değişiklikler yapmıştır. ICO, kullanıcılara adil ve bilinçli bir seçimi sunulması konusunda çalışmalarına devam etmektedir.

3.3. 2025-2027 Orta Vadeli Programı (‘’OVP’’) Resmî Gazete Yayımlanmıştır.

Cumhurbaşkanlığı Kararıyla uygulamaya konulan ve temel amacı enflasyon oranını düşürmek olan OVP, 05/09/2024 tarihli ve 32653 sayılı 1. mükerrer Resmî Gazete’de yayımlanmıştır. Program, yapay zekâ ve fikri mülkiyet alanındaki hedefler için de bir rehber niteliği taşımaktadır. İş ve yatırım ortamı düzenleyici çerçevenin iyileştirilmesi kapsamında 2025’in 4. çeyreğinde mal ve hizmet ihracatını etkileyen yönleriyle AB dijital ekonomi düzenlemeleri doğrultusunda, Kişisel Verilerin Korunması Kanunu’nun (‘’Kanun’’) Avrupa Birliği Genel Veri Koruma Tüzüğü (‘’GDPR’’) başta olmak üzere AB müktesebatına uyum süreci tamamlanması hedeflenmektedir.

3.4. Amerika Birleşik Devletleri Federal Ticaret Komisyonu (‘’Komisyon’’) Tarafından Çevrimiçi Hukuki Destek Platformuna 193.000 ABD Doları Para Cezası Verildi.

Komisyon, müşteri hedef kitlesi ABD’li tüketicilerden oluşan bir çevrimiçi abonelik hizmeti uygulamasına ‘’Dünyanın İlk Robot Avukatı’’ reklam yazısı sonucu hizmetin bir insan avukat uzmanlığının yerini alamaması nedeniyle 193.000 ABD Doları para cezasına hükmedilmesine karar verdi. Söz konusu uygulama şirketi kendisine yöneltilen Komisyon çözüm önerisini kabul etti. Önerilen anlaşma uyarınca, 193.000 ABD Doları ödenecek ve 2021 ile 2023 yılları arasında hizmete abone olan tüketicilere, hukuki danışmanlık özelliklerinin sınırlamaları hakkında uyarıda bulunulacaktır.

Komisyon kararına buradan ulaşabilirsiniz.

3.5. İspanya Veri Koruma Otoritesi (‘’AEPD’’) Kişisel Veri İçeren Şifrelenmemiş USB Belleğin Çalınması Nedeniyle 145.000 Euro Para Cezasına Hükmetti.

Bir ceza davası kapsamında kişisel veriler içeren USB belleğin çalınması nedeniyle ilgili hukuki danışmanlık şirketine 145.000 Euro para cezası verildi. Bellek içerisindeki verilere erişim sağlandığına ilişkin bir kanıt olmamasına rağmen Avrupa Birliği Genel Veri Koruma Tüzüğü (‘’GDPR’’) madde 32 uyarınca belleğin güvenli bir şekilde saklanamaması sonucunda gizlilik ilkesinin ihlal edildiği kanısına varılmıştır. Söz konusu madde gereği uygun önlemler alınmış olmalıdır.

Söz konusu karara buradan ulaşabilirsiniz.

3.6. Hırvatistan Veri Koruma Otoritesi Tarafından Veri Sorumlusu Hastaneye 190.000 Euro İdari Para Cezası Verildi.

Temmuz 2019’da veri sorumlusu olan hastanenin sistemlerinde bir veri ihlali yaşanmıştır. Bu durum, veri sorumlusu tarafından gerçekleştirilen röntgen muayenelerine ait görüntülerin silinmesine yol açmıştır. Veri sorumlusu, söz konusu ihlal hakkında veri koruma otoritesine bildirimde bulunmamıştır. Eylül 2022’de, birkaç veri sahibinin tıbbi görüntülerinin kopyalarını talep edip hastanenin bu kopyaları sağlayamaması üzerine veri sahipleri şikayette bulunmuştur.

Veri koruma otoritesi ilk olarak, veri sorumlusunun 2019 yılında veri sorumlusunun veri ihlali hakkında yönetimi bilgilendirdiğine dair kanıtlar bulmuş ve veri sorumlusunun GDPR Madde 33/1’i ihlal ettiğini tespit etmiştir.

İkinci olarak, veri sorumlusunun ihlalden etkilenen verileri korumak için uygun teknik önlemleri almadığı, bir yedekleme sistemi oluşturmadığına dikkat çekilmiştir. Bu durumun da kişisel verilerin geri döndürülemez bir şekilde kaybına yol açtığı sonucuna varılmıştır. Bu sebeple veri sorumlusunun GDPR 31/1 (b)’yi ihlal ettiği tespit edilmiştir.

Üçüncü olarak da veri sorumlusuna ait bilgi işlem sisteminin uygulanması ve bakımından dış kaynak bir şirketin sorumlu olduğu tespit edilmiştir. Ancak, veri sorumlusu ile dış kaynak tedarikçi şirket arasında bir Veri İşleme Anlaşması bulunmadığı anlaşılmıştır. Bu sebeple veri sorumlusunun GDPR madde 28/3’ü de ihlal ettiği tespit edilmiştir.

Son olarak, söz konusu ihlal incelemesi kapsamında hastalarla yapılan telefon görüşmelerinin kaydedildiği ancak veri sahibi olan hastaların ses kaydı alındığı konusunda bilgilendirilmediği ve bunun da GDPR’a aykırı olduğu tespit edilmiştir.

Bu gerekçelerde veri sorumlusu hakkında 190.000 Euro idari para cezası uygulanmıştır.