Veri Koruma & Mahremiyet Gündemi #139
🎬 KVKK veri ihlalleri webinar kaydımız YouTube'da, 💥 KVKK'dan Twitter ve Twitch'e milyonluk cezalar, 🇪🇺 AB Komisyonundan Meta'ya 798 milyon euro ceza, 🇪🇸 İspanya'dan blockchain ve GDPR içeriği
Selamlar, geçtiğimiz hafta düzenlediğimiz webinar kaydını YouTube hesabımızda yayınladık.
Her Pazartesi Türkiye’den ve dünyadan veri koruma alanında yaşananları; gelişmeler, yaptırım, regülasyon ve veri ihlalleri başlıkları altında aktarıyoruz. Bültene buradan abone olabilir merak ettiğiniz sorular hakkında merhaba@privacyturkey.com adresinden bizimle iletişime geçebilirsiniz.
Keyifli okumalar.
Haftanın Gelişmeleri
🎬 14 Kasım 2024 tarihinde, KVKK veri ihlali yönetimi üzerine düzenlediğimiz soru-cevap etkinliğinde 200'e yakın katılımcımızla bir araya geldik. Bir buçuk saatlik bir süre boyunca, her dakikası dolu dolu geçen bu keyifli etkinlikteki değerli konuşmacılarımız, Trendyol Group'tan Veri Koruma Ekip Lideri Av. Deniz Eren ile Doğuş Teknoloji'den Siber Güvenlik Grup Müdürü Aziz Sasmaz oldular. Ekibimizden Av. M. Mert Yaşar'ın moderatör olarak yer aldığı etkinlik kaydını, kaçıranlar ve yeniden izlemek isteyenler için YouTube hesabımızda paylaştık.
🗓️ Geçtiğimiz hafta Galatasaray Üniversitesi'nde gerçekleşen yapay zeka ve kişisel verilerin korunması ile ilgili roundtable etkinliğine katılma fırsatı bulduk. Pratik ve akademik alanda tartışmaya açık hukuki sorunların sektör uzmanları tarafından ele alındığı verimli bir etkinlik oldu.
📌 Kişisel Verileri Koruma Kurulu tarafından şimdiye kadar verilmiş en yüksek 11 para cezasını derledik. Kararların kimlere, hangi nedenlerle ve ne zaman verildiği, güncel derlememizde yer alıyor.
🇪🇺 Meta, Avrupa Birliği'ndeki Facebook ve Instagram kullanıcılarına kişiselleştirilmiş reklamcılık hizmeti sunma planlarını yeniden gözden geçiriyor. Bu son değişiklik, AB’li kullanıcılara önerilen onay veya ödeme seçeneğinin GDPR ve Dijital Piyasalar Yasası'nı (DSA) ihlal edip etmediği konusundaki devam eden yasal soruşturmalardan kaynaklanıyor. Geçtiğimiz yıl devreye alınan, ödeme veya onay teklifinin daha düşük bir maliyetle bozulmadan kalacağı ancak Meta’nın "daha az kişiselleştirilmiş reklam" sunmak için ücretsiz bir katılım modeli ekleyeceği belirtiliyor.
🛡️ Fortinet raporuna göre, çalışanların %70'e yakını siber güvenlik farkındalığına sahip değil. 2024 Güvenlik Farkındalığı ve Eğitimi Küresel Araştırma Raporu’ndaki bazı bulguları bu içerikte paylaştık.
🇬🇧 Birleşik Krallık Rekabet ve Piyasalar Otoritesi, Google'ın Gizlilik Sandbox girişimiyle ilgili olarak Q2/Q3 raporunu yayınladı. Son rapor, Google'ın "reklamcılık işletmeleri lehine ayrımcılık yapan" sandbox araçları tasarlamaktan/uygulamaktan kaçınmak için yaptığı önceki taahhütlere uyduğunu ve Birleşik Krallık veri koruma otoritesi ICO’nun olası uyumsuzlukları izlemeye devam edeceğini belirtiyor.
🔍 Google Cloud, 2025 Siber Güvenlik Öngörüleri raporunu yayınladı. Rapor, kötü niyetli aktörler tarafından yapay zekanın artan kullanımını, güncel tehdit ve tedbirleri ele alıyor.
🔐 IAPP, Gizlilik Yönetimi Raporu 2024'ü yayınladı. Raporda yönetim ve organizasyonel yapılar, gizlilik stratejisi ve planlaması, tazminat ve bütçe yönetimi ve performans ölçümleri gibi konular inceleniyor.
🇺🇸 ABD Tüketici Finansal Koruma Bürosu (CFPB), tüketicilerin finansal verileri için federal ve eyalet düzeyindeki veri koruma düzenlemelerini inceleyerek, finansal verileri korumadaki boşlukları veya belirsizlikleri ele alan bir rapor yayınladı.
🇪🇺 Avrupa Komisyonu, Apple'ı bazı uygulama hizmetlerinde coğrafi engellemeyi kullanmayı bırakmaya çağırdı ve buna uymaması halinde yaptırım uygulayacağını bildirdi. Coğrafi engelleme, bir kullanıcının konumuna göre içeriği kısıtlamak anlamına geliyor ve bu da coğrafi konum izlemeyi gerektiriyor.
Yaptırımlar & Kararlar
💥 Kişisel Verileri Koruma Kurulu, sosyal medya platformu X'e (önceki adıyla Twitter), veri güvenliği gerekçesiyle 1 milyon 470 bin lira para cezası verdi. X'in internet sitesinde yayınladığı, "güvenlik ve emniyet amacıyla kullanıcılarından temin edilen eposta adresi veya telefon numaralarının, kendilerine ait reklamcılık sistemlerinde yanlışlıkla reklam amaçlı kullanıldığı" duyurusu üzerine Kurulun re'sen inceleme başlattığı ve işlenen kişisel verilerin üçüncü kişilerin eline geçmiş olabileceği ve Türkiye'de X kullanıcı sayısının çok fazla olduğunu dikkate alan KVKK, uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığından bahisle X'e yaptırım uyguladı.
🔥 Kişisel Verileri Koruma Kurulu, veri sızıntısı nedeniyle sosyal medya platformu Twitch'e 2 milyon lira para cezası verdi. 125 GB'lık veri sızıntısı iddiaları üzerine Kurulun re'sen inceleme başlattığı ve veri ihlali kapsamında Türkiye’den 35.274 kişinin etkilendiği belirtildi. Veri güvenliğine yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğüne aykırılık sebebiyle 1.750.000 TL, veri ihlali hakkında bildirimde bulunulmaması nedeniyle de 250.000 TL olmak üzere toplam 2.000.000 TL para cezası verildi.
🇪🇺 Avrupa Komisyonu, çevrimiçi ilan hizmeti Facebook Marketplace uygulamaları nedeniyle Meta'ya 798 milyon Euro’luk rekor bir para cezası verdi. Yapılan açıklamada, "Meta'ya, çevrimiçi ilan hizmeti Facebook Marketplace'i, sosyal ağı Facebook'a bağlayarak ve diğer çevrimiçi ilan hizmeti sağlayıcılarına haksız ticari koşulları uygulayarak AB antitröst kurallarını ihlal ettiği gerekçesiyle para cezası verildi" ifadeleri yer aldı.
🇩🇪 Hamburg veri koruma otoritesi, yasal bir dayanak olmaksızın beş yıla kadar kişisel verileri sakladığı için bir borç tahsilat hizmeti sağlayıcısına 900.000 Euro para cezası verdi.
🇪🇸 İspanya veri koruma otoritesi AEPD, bir telekomünikasyon dağıtıcısına fidye yazılımı saldırısı sonucunda yaklaşık 13 milyon kişinin verilerinin dark web'de yayımlanmasına yol açan güvenlik ihlalleri nedeniyle 6.5 milyon Euro para verdi. Kararda özellikle, şirketin şifreleme, ağ izleme, parola yönetimi ve çalışan eğitimi gibi kritik alanlarda yeterli protokolleri bulunmadığı ve bu ihmallerin saldırganların verileri açık metin formatında paylaşmasını kolaylaştırdığı belirtiliyor. AEPD başka bir kararında ise "Nude project" adlı bir giyim perakendecisine satın alma işlemi için dijital makbuz almak amacıyla e-posta adresini veren ilgili kişilerin iletişim bilgilerinin reklam amacıyla işlenmesine onay vermeksizin ve kişisel verilerinin kendilerine tanıtım yapılması amacıyla işlenmesine itiraz etme seçeneği sunulmaksızın işlenmesi nedeniyle 20.000 Euro para cezası verdi.
🇺🇸 Kaliforniya veri koruma otoritesi, Kuruma yıllık ücreti ödememek ve kayıt yaptırmamak nedeniyle iki veri komisyoncusu şirket ile anlaşmaya vardı. Her iki şirketin uyuşmazlığı çözmek için 35.400 Dolar ve 34.400 Dolar ödeyeceği belirtildi.
🇧🇪 Belçika veri koruma otoritesi, istihdam ilişkisi kapsamında biyometrik verilerin işlenmesine ilişkin çalışandan alınan açık rızanın geçerli olmadığına karar verdi. Açık rızanın unsurlarının değerlendirildiği kararın arka planı, bir işverenin parmak izlerine dayalı zaman kayıt sistemi kullanmasına dayanıyor.
🇮🇹 İtalya veri koruma otoritesi Garante, İtalya’nın önde gelen bankalarından biri olan Intesa Sanpaolo Vita S.p.A. hakkında bir müşterinin hayat sigortası poliçesine ilişkin kişisel verilerini yetkisiz üçüncü taraflara ileterek GDPR’nin hukuka uygunluk, adillik, şeffaflık ve gizlilik ilkelerini ihlal ettiği gerekçesiyle 20.000 Euro para cezasına hükmetti. Yapılan incelemede, şikayetçinin ad, soyad, poliçe numarası ve ödeme miktarı gibi bilgilerin, başka bir poliçenin düzenlenmesi sırasında bir çalışanın maddi hatası sonucu iki farklı üçüncü tarafa iletildiği tespit edildi.
🇳🇱 Hollanda veri koruma otoritesi, eğitim sektöründe öğrencilerin yurt dışı bursunu kötüye kullanıp kullanmadığını kontrol etmek için algoritma kullanımını araştırdı ve sistemin belirli öğrencilere karşı ayrımcı olabileceğini tespit etti. Soruşturmanın ardından Eğitim Yürütme Ajansı’nın bursları kontrol etme şeklinin ayrımcı ve dolayısıyla yasa dışı olduğu sonucuna varıldı.
🇳🇴 Norveç veri koruma otoritesi Datatilsynet, reklamcılık hizmetleri sunan Amerikan şirketi Disqus'a, kullanıcıların kişisel verilerini yasal bir dayanak olmaksızın ana şirketi Zeta Global ile paylaşması nedeniyle resmi bir uyarı verdi. Yaptırımın sebebi olarak şirketin, 2018-2019 yılları arasında Norveç'teki websitelerinde GDPR'nin geçerli olmadığını varsayarak, kullanıcıların kişisel verilerini izinsiz bir şekilde ana şirketiyle paylaşması görülüyor.
Regülasyon Gündemi
🇬🇧 Birleşik Krallık veri koruma otoritesi ICO, The Association of British Investigators Limited tarafından hazırlanan ve özel dedektiflik sektörü için bir ilk olan Soruşturma ve Dava Destek Hizmetleri İçin Birleşik Krallık GDPR Davranış Kurallarının onaylandığını duyurdu. Davranış kuralları, veri sorumlusu, ortak veri sorumlusu veya veri işleyen olarak üyelerin rol ve sorumlulukları, Veri Koruma Etki Değerlendirmesi (DPIA) hazırlama süreci ve gizli gözetim, takip cihazları ve sosyal medya izleme gibi görünmez işleme faaliyetleri için yasal dayanak belirleme gibi konulara odaklanıyor. Ayrıca, rehberde kişilerin yasal yollarla izini sürme ve yerlerini belirleme süreçlerine yönelik pratik örnekler de sunuluyor.
🇺🇸 Kaliforniya veri koruma otoritesi CPPA, veri komisyoncularına yönelik yeni düzenlemeleri oybirliğiyle kabul ettiğini duyurdu. Düzenlemeler, tüketicilerin veri komisyoncularına verdikleri talimat üzerine tek elden verilerin imha edilmesi mekanizmasını sağlayan veri silme yasası (Delete Act) hükümlerine açıklık getirerek, veri komisyoncularına Kaliforniya Eyalet siciline kayıt zorunluluğu ve şeffaflık gerekliliklerini artırmayı hedefliyor.
🇪🇺 AB Yapay Zeka Ofisi, yapay zekanın güvenli bir şekilde oluşturulması ve kullanılmasına rehberlik etmesi amacıyla hazırlanan Genel Amaçlı AI Uygulama Kuralları'nın ilk taslağını yayınladı.
🇪🇸 İspanya veri koruma otoritesi AEPD, blockchain altyapıları ve bunların GDPR kapsamında veri silme standartlarına uyumuyla ilgili teknik unsurları ayrıntılı olarak açıklayan bir içerik yayınladı. AEPD ayrıca, reşit olmayan kullanıcılar için siber riskler ve teknolojinin ruh sağlığı üzerindeki potansiyel etkileri hakkında farkındalık yaratmayı amaçlayan çocuk gizliliği girişimini başlattı.
🇳🇱 Hollanda veri koruma otoritesi, şirketlerin, hükümetlerin ve diğer kuruluşların yapay zekayı yönetmesine dair öneriler yayınladı.
🇫🇷 Fransa veri koruma otoritesi CNIL, 60 yaş üstü bireyler için kişisel verilerin korumasını güçlendirme planını duyurdu. Plan, "sektör oyuncularının 'kişisel veri' düzenlemelerine uyumunu kolaylaştırmayı" ve yaşlıların gizliliğini koruyacak araçlar sağlamayı amaçlıyor.
🇪🇺 Avrupa Komisyonu, AB Yapay Zeka Yasası'nın (AI Act) AI sistemleri tanımı ve yasaklı uygulamalarla ilgili hükümleri hakkında 11 Aralık 2024 tarihine kadar devam edecek bir kamuoyu görüş çağrısı başlattı.
Veri İhlali Gündemi
🛡️ Florida’lı hukuk firması Gunster, yaklaşık 10.000 müvekkil ve çalışanı etkileyen siber saldırı kaynaklı bir veri ihlali nedeniyle açılan toplu davayı çözmek için 8,5 milyon Dolar ödemeyi kabul etti. Saldırı ile firmanın dosya yönetim sistemine erişim sağlamasının ardından hassas kişisel verileri ifşa ettiği iddia ediliyor.
🚨 TechCrunch haberine göre, ABD Adalet Bakanlığı, iki kişi hakkında AT&T'nin sistemlerine girmek ve yaklaşık 50 milyar müşteri araması ile metin kaydını çalmakla suçlayarak soruşturma başlattı.
🇺🇸 FBI ve ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, Çin'den ticari telekomünikasyon altyapısını hedef alan "önemli bir siber casusluk" çabası ortaya çıkardıklarını duyurdu. Açıklamada, özellikle hükümet veya siyasi faaliyetlerde bulunan kişilerle ilgili bilgi edinme ve mahkeme emirleriyle ilgili kolluk kuvvetlerinin taleplerine tabi bilgilerin kopyalanmasının hedeflediği belirtildi.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru, öneri ve talepleriniz için merhaba@privacyturkey.com adresimizden bize iletebilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Instagram |📍 YouTube 📍 Twitter