1. KİŞİSEL VERİLERİN KORUNMASI ALANINDA AĞUSTOS AYINDA NELER OLDU?

2 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI

• Maltepe Üniversitesi
• Gündoğdu Mobilya San. Tic. Ltd. Şti
• Maltepe Üniversitesi

Veri sorumlusu sıfatını haiz Maltepe Üniversitesi tarafından Kurula iletilen veri ihlali bildiriminde özetle; (i) Bir siber saldırganın, veri sorumlusunun sistemlerinde yer alan bir kullanıcı hesabının parolasını ele geçirdiği ve fidye yazılımı saldırısı gerçekleştirdiği, (ii) İhlalin 19.06.2024 tarihinde 01:27-06:35 saatleri arasında gerçekleştiği, (iii) Siber saldırganın, veri sorumlusundan fidye talebinde bulunduğu, (iv) Veri sorumlusu sistemlerinden dışarıya veri çıkışının olmadığı bilgilerine yer verilmiştir. İhlalden etkilenen ilgili kişi grupları, kişi sayısı ve kişisel verilere ilişkin bilgi verilmemiştir.

• Gündoğdu Mobilya San. Tic. Ltd. Şti.

Veri sorumlusu sıfatını haiz Gündoğdu Mobilya Sanayi Ticaret Ltd. Şti. tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) Veri sorumlusu sunucularında bulunan verilerin şifrelendiği, (ii) İhlalin 09.08.2024 tarihinde başladığı ve aynı tarihte tespit edildiği, (iii) İhlalden etkilenen kişisel verilerin; kimlik, iletişim, lokasyon, özlük, hukuki işlem ve müşteri işlem verileri olduğu, (iv) İhlalden etkilenen ilgili kişi grubunun; çalışanlar, kullanıcılar ve müşteriler olduğu, (v) İhlalden etkilenen kişi sayısının sisteme erişim olmaması sebebiyle bu aşamada tespit edilemediği, (vi) İlgili kişilerin, veri sorumlusuna ait çağrı merkezi aracılığıyla veri ihlali hakkında bilgi alabileceği bilgilerine yer verilmiştir.

2. KİŞİSEL VERİLERİ KORUMA KURUMU ETKİNLİKLERİ VE DUYURULARI

2.1. Veri Sorumluları Sicili Hakkında Kamuoyu Duyurusu

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’Kanun’’) 16. Maddesi gereğince kişisel veri işleyen veri sorumluları, Veri Sorumluları Siciline kayıt ve bildirim yapmak zorundadır. Kanun’un 18. Maddesi hükmü gereği ise sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen inceleme yapılmaktadır. Sicile kayıt ve bildirim yükümlülüğü bulunduğu tespit edilen yaklaşık 130.600 veri sorumlusunun bu yükümlülüğü yerine getirmediği saptanmış ve 16.350 veri sorumlusu veri sorumlusu hakkında Kurul tarafından Kanun’un 18. Maddesi uyarınca VERBİS incelemesi yapılmasına ve idari para cezası uygulanmasına karar verilmiştir. Kurul 01.08.2024 tarihi itibariyle 503.935.000 TL idari para cezası düzenlemiş olup kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarına da disiplin hükmü uygulamıştır.

2.2. Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’Kanun’’) 5. Maddesinin 2’nci fıkrası (a) bendinde yer alan ‘’Kanunlarda açıkça öngörülme’’ kişisel veri şartı hakkında bilgi notu hazırlanmıştır. Söz konusu bilgi notunda Türk Hukuku ve AB Hukukuna ilişkin değerlendirmelerde bulunulmuştur.

Bilgi notuna buradan ulaşabilirsiniz.

2.3. “Araştırma Şirketlerinin İstatistiksel Araştırma Yapmak Amacıyla “Rastgele Numara Çevirme ile Telefon Mülakatı Yöntemi” Kullanarak Gerçekleştirdikleri Kişisel Veri İşleme Faaliyetleri” Hakkında Kamuoyu Duyurusu

Kişisel Verileri Koruma Kurumu’na (‘’Kurum’’) yapılan şikayetlerde ilgili kişilerin telefon numaralarını paylaşmadıkları halde araştırma şirketlerince arandıklarını telefon numarasının işlenmesi için açık rıza alınmadığı ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’Kanun’’) 5’inci maddesindeki diğer işleme şartlarından herhangi birine de dayanılmadığı belirtilerek Kanun kapsamında gereğinin yapılması talep edilmiştir. Kanun’un 28’inci maddesinin birinci fıkrasının (b) bendinde, “Kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi.” halinde 6698 sayılı Kanun hükümlerinin uygulanmayacağının düzenlendiği, söz konusu maddenin, resmi istatistik amacıyla kişisel veri işlenmesi durumu veya anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla kişisel veri işlenmesi durumu olmak üzere iki ayrı durumda uygulanabileceği,’’ yer almaktadır. Kurum, istatiksel araştırmalarda anonim hale getirilmeden yapılan faaliyetlerin istisna kapsamında olmayacağını vurgulayarak bahse konu veri işleme faaliyetinin hukuka uygunluğunun sağlanabilmesi için gerekli aydınlatmanın detaylı bir şekilde yapılması gerektiğini ve ilgili kişilerin açık rızalarının alındıktan sonra görüşme yapılması gerektiğini açıklamıştır.

2.4. Kişisel Verileri Koruma Kurumu ile Ticaret Bakanlığı Arasında İş Birliği Protokolü İmzalandı

Günümüzde dijital reklam ve uygulamaların yaygınlığı hızlı bir artış göstermektedir. Bu hızlı artış sonucunda toplanan verilerin kişisel veri güvenliği kapsamında taşıdığı riskler neticesinde Ticaret Bakanlığı ve Kişisel Verileri Koruma Kurumu (‘’Kurum’’) arasında iş birliği protokolü imzalanmıştır. Söz konusu Protokol ile dijital reklam ve uygulamalar konusunda tüketici farkındalığının arttırılması ve tüketicilerin kişisel verileri üzerindeki kontrolünün güçlendirilmesi amaçlanmaktadır.

3. YURTİÇİNDE VE YURTDIŞINDA DİKKAT ÇEKEN GELİŞMELER

3.1. Avrupa Yapay Zekâ Yasası 1 Ağustos 2024 Tarihinde Yürürlüğe Girdi.

Yapay zekâ konusunda dünyanın ilk kapsamlı düzenlemesi olan Avrupa Yapay Zekâ Yasası (‘’YZ Yasası’’) 1 Ağustos 2024 tarihinde yürürlüğe girmiştir. Söz konusu yasa ile risk temelli bir yaklaşım benimsenerek yapay zekânın güvenilirliğinin arttırılması, insan haklarına uyumlu ve temel güvencelere sahip olması amaçlanmaktadır. İleriye dönük risk temelli yaklaşımda risk türleri 4 grupta ele alınmıştır. (i) Minimal Risk, (ii) Spesifik Şeffaf Risk, (iii) Yüksek Risk, (iv) Kabul Edilemez Risk.

YZ Yasası hükümlerinin birçoğu 2 Ağustos 2026 tarihinde uygulanmaya başlanacaktır. Bunun yanı sıra kabul edilemez risk taşıyan yasaklar 02.02.2025 tarihinde, genel amaçlı yapay zekâ modelleri için tasarlanan kurallar ise 02.08.2025 tarihinde uygulanacaktır.

YZ Yasası’na buradan ulaşabilirsiniz.

3.2. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ve Standart Sözleşme Metinlerinin İngilizce Çevirisi Yayınlandı.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘’Kanun’’) ‘’Kişisel verilerin yurtdışına aktarılması’’ başlıklı 9’uncu maddesinde, 7499 Sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un (‘’7499 sayılı Kanun’’) 34’üncü maddesi ile değişiklik yapılmıştır. Bu kapsamda, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (‘’Yönetmelik’’) ile Kişisel Verileri Korumu Kurumu (‘’Kurum’’) tarafından hazırlanarak 10.07.2024 tarihinde kamuoyuna duyurulmuş olan ve kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşme metinlerinin İngilizce dilinde çevirileri yayınlanmıştır.

Standart sözleşme metinlerinin İngilizce çevirilerine buradan ulaşabilirsiniz.

3.3. Hollanda Veri Koruma Otoritesi, Uber’e 290 Milyon Euro Para Cezası Verdi.

Hollanda Veri Koruma Otoritesi (‘’Otorite’’) tarafından taksi çağırma platformu Uber’e sürücülerin kişisel verilerinin ABD’ye aktarılması ve gerektiği gibi korunmaması sebebiyle 290 milyon Euro para cezası verildi. Soruşturma Fransa’daki 170’ten fazla taksi şoförü adına ülkenin veri koruma kurumuna şikâyette bulunulmasıyla başlatıldı ancak Uber’in Avrupa merkezi Hollanda’da olması sebebiyle karar Hollanda’da alındı. Otorite, Uber’in veri aktarımı uygulamasını durdurduğunu açıkladı.

Geçtiğimiz Ocak ayında ilgili bir davada Uber’e sürücülerinin kişisel verilerinin gizlilik düzenlemelerini ihlal etmesi gerekçesiyle 10 milyon Euro para cezası verilmişti.

İlgili habere buradan ulaşabilirsiniz.

3.4. Rekabet Kurumu (‘’Kurum’’) Tarafından 2023 Yılına İlişkin Yıllık Rapor (‘’Rapor’’) Yayınlandı.

Rapor’da Kurum tarafından 2023 yılı boyunca 145 rekabet ihlali, 217 birleşme ve devralma, 8 muafiyet ve menfi tespit olmak üzere toplam 370 dosya sonuçlandırıldığı açıklanmıştır. 2022 yılında tamamen kapanan soruşturma sayısı 22 iken 2023 yılında bu sayının 61’i bulduğu gözlemlenmektedir. Tamamlanan soruşturmaların sektörel dağılımı incelendiğinde; (i) Kimya ve Madencilik, (ii) Gıda Endüstrisi, (iii) Makine Endüstrisi, (iv) Bilişim Teknolojileri ve Platform Hizmetleri, (v) Tarım ve Tarımsal Ürünler ilk 5 sektörü meydana getirmektedir. Raporda Kurum’un misyon ve vizyonu, ülke ekonomisi için önemi, çalışma ilkeleri, yetkileri ve Kişisel Verileri Koruma Kurumu ile 2023 yılında imzalanmış olan ‘’İş Birliği ve Bilgi Paylaşımı Protokolü’’ gibi konulara da yer verilmiştir.

Söz konusu Rapora buradan ulaşabilirsiniz.

3.5. Microsoft Tarafından Kişisel Verileri Koruma Kurumu’nun (‘’Kurum’’) Yayınladığı Standart Sözleşme Hükümlerinin Kurumsal Anlaşma Paketinin Parçası Haline Getirildiği Duyuruldu.

Kişisel Verilerin Korunması Kanunu’nun (‘’Kanun’’) 9. Maddesinin Avrupa Birliği Genel Veri Koruma Regülasyonu (‘’GDPR’’) çerçevesinde uyumlu hale getirilmesi akabinde Kurum tarafından yayınlanan standart sözleşmeler Microsoft kurumsal anlaşma paketinin bir parçası haline gelmiştir. Microsoft Genel Müdürü Levent Özbilgin, Türkiye’de mevcut kullanıcı olan veya gelecekte Microsoft bulut hizmetlerini kullanacak olan her kurumsal müşterinin işlediği kişisel verileri, veri güvenliğini sağlayacak şekilde Microsoft bulutunda saklayabileceğini ve Microsoft’un global düzeyde yüksek regülatif uyumluluğundan yararlanabileceğini açıklamaktadır.

3.6. Reklam Kurulu (‘’Kurul’’) Tarafından Paribu Teknoloji A.Ş. (‘’Paribu’’) Hakkında 550.059 -TL Para Cezası Uygulandı.

Ticaret Bakanlığı’na bağlı olan Kurul, kripto para işlem platformu olan Paribu’ya reklamlarında yeni kullanıcılarına vadetmiş olduğu 1.000 -TL değerinde Bitcoin’i hediye etmemesi neticesinde 550.059 -TL idari para ve anılan reklamları durdurma cezaları uygulamıştır. Bahse konu reklamın yanıltıcı nitelikte olduğu, Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği’nin (‘’Yönetmelik’’) (7/1), (7/2), (7/3), (7/4), (7/5), (7/5-ç), (9/1), (15/1), (15/1-a), (15/1-b), (15/1-c), (18/1), (18/2), (18/4), (29/1), (29/2-a), (29/2-c), (29/3) ve (32/1)‘inci maddeleri;  6502 sayılı Tüketicinin Korunması Hakkında Kanun’un (‘’6502 sayılı Kanun’’) 61 inci maddesi, hükümlerine aykırı olduğu ve rekabet ilkelerine aykırılık içerdiği tespit edilmiştir.

Söz konusu Karar’a buradan ulaşabilirsiniz.