Veri Koruma & Mahremiyet Gündemi #151
🎬 KVKK Yurt Dışı Veri Aktarımı Rehberi etkinliği YouTube'da,❗KVKK'dan standart sözleşmelere dair kamuoyu duyurusu, 🇹🇷 Kişisel verilere dair 25 ilde ''panel'' operasyonu, 🇪🇺Yasaklı AI uygulamaları
Selamlar, ‘‘Yurt Dışı Kişisel Veri Aktarımına Dair KVKK Rehberi’’ başlıklı etkinlik kaydını YouTube hesabımızda yayınladık.
Her Pazartesi Türkiye’den ve Dünyadan veri koruma alanında yaşanan gelişmeleri yaptırımlar, regülasyon ve veri ihlalleri gibi ana başlıklar altında aktarıyoruz. Haftalık bültene linkten abone olabilirsiniz. Bize ulaşmak için merhaba@privacyturkey.com adresini kullanabilirsiniz.
Keyifli okumalar.
Haftanın Gelişmeleri
🎬 Kişisel Verileri Koruma Kurumu’nun yayımladığı “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi” hakkındaki soru-cevap etkinliğini YouTube'da paylaştık. 400’ün üstünde katılımcımızın eşlik ettiği webinar’daki değerli konuşmacılarımız, Bilkent Üniversitesi Hukuk Fakültesi Öğretim Üyesi Doç. Dr. Hüseyin Can Aksoy, Galatasaray Üniversitesi Hukuk Fakültesi Öğretim Üyesi Dr. Osman Gazi Güçlütürk ve Microsoft Türkiye ve Adriyatik Ülkeleri Hukuk İşlerinden Sorumlu GMY Av. Oğuzhan Arslan oldular ve KVKK değişikliklerine uyum süreciyle ilgili pek çok kritik konuya değinerek somut örneklerle pratik çözümleri ele aldılar.
Data Privacy Türkiye ekibimizden Av. Arif Candemir'in moderatör görevi üstlendiği etkinliğin tamamı Rehber ekseninde ve soru-cevap formatında gerçekleşti. Katılımcılarımızın soruları ve yorumlarıyla zenginleştirdiği bu özel etkinliği YouTube hesabımızdan izleyebilirsiniz.
❗ Kişisel Verileri Koruma Kurumu, ‘‘Yurt Dışına Kişisel Veri Aktarımında Kullanılacak Standart Sözleşmelerde Dikkat Edilmesi Gereken Hususlara İlişkin Kamuoyu Duyurusu’’ yayımladı ve standart sözleşme hazırlık ve bildirim süreçlerindeki kritik hususlara 12 maddede dikkat çekti.
📊 T.C. Ticaret Bakanlığı'na bağlı Reklam Kurulu'nun 2024 Yılı Raporu yayımlandı. Yıl içerisinde 277.664.783,00 TL para cezası uygulandığı görülürken, rehber niteliğindeki bu rapor içerisinde; karanlık ticari tasarımlar, manipülatif sonuçlar; onaysız üyelikler, transfer edilen kişisel veriler; gerçek dışı yorumlar, sahte yıldız ve puanlar gibi yeni nesil birçok güncel karar görsellerle birlikte ele alınıyor.
🇬🇧 Birleşik Krallık’ın veri koruma otoritesi ICO, kuruluşların doğrudan pazarlama faaliyetlerinin, Gizlilik ve Elektronik İletişim Yönetmeliği (PECR) ve Birleşik Krallık Genel Veri Koruma Yönetmeliği ile uygun olmasını sağlayacak bir araç yayınladı. Daha az kaynağı olan küçük organizasyonlar düşünülerek hazırlanan araç, girdilere göre hangi tür medyanın kullanılacağına bağlı olarak tavsiyeler sağlıyor.
🇹🇷 "Panel" adı verilen illegal sorgulama sistemleri aracılığıyla elde edilen kişisel verilerin satıldığı ya da tehdit ve şantaj amacıyla kullanıldığı gerekçesiyle, İstanbul merkezli 25 ilde operasyonlar düzenlendi. Anadolu Cumhuriyet Başsavcılığının soruşturma izniyle, Siber Suçlarla Mücadele Daire Başkanlığı koordinesinde 25 ilde eş zamanlı düzenlenen operasyonlarda, aralarında yazılım ve bilgisayar mühendisi ile bilgisayar programcısının da bulunduğu belirlenen 35'i çocuk 69 şüpheliden 44'ünün tutuklandığı bildirildi.
🇬🇧 Birleşik Krallık’ın veri koruma otoritesi ICO, istihdam kayıtlarının mevzuata uygun işlenmesi hakkında rehber yayınladı. Rehber içeriğinde, çalışan bilgilerinin elde edilmesi, saklanması ve bunların nasıl kullanılabileceğine ilişkin her bir faaliyetin en iyi şekilde nasıl yürütüleceğine dair detaylı bir kontrol listesi yer alıyor.
🇫🇷 Fransa'nın veri koruma otoritesi CNIL, GDPR ile uyumlu "yenilikçi ve sorumlu yapay zeka geliştirilmesi" için yeni önerilerde bulundu. CNIL bu arada, 2024 yılı faaliyet raporunu yayınladı; toplam 55.212.400 euro tutarında 87 yaptırım dahil olmak üzere 331 karar alındığı paylaşıldı.
🇩🇰 Danimarka veri koruma otoritesi, ABD Başkanı Donald Trump'ın yönetimindeki politika değişikliklerinin, AB ile ABD arasındaki veri transferlerinin temelini oluşturan AB-ABD Veri Gizliliği Çerçevesi'ni tehdit edebileceği konusunda uyarıda bulundu.
🇪🇺 Euractiv tarafından, Çinli yapay zeka modeli DeepSeek'in kişisel verileri işleme sürecini soruşturma planları hakkında AB'deki tüm veri koruma otoriteleriyle iletişime geçildiği ve cevap veren 16 veri koruma yetkilisinden yedisinin devam eden bilgi talepleri ve resmi soruşturmalar başlattığı bildirildi.
Ek bilgi: Avrupa Veri Koruma Kurulu’nun (EDPB), 11 Şubat'taki toplantısında -geçtiğimiz hafta İtalya’da yasaklanan- DeepSeek’in veri koruma endişeleri ele alacak.
🛍️ Avrupa Komisyonu, AB Dijital Hizmetler Yasası (DSA) kapsamında Çinli pazaryeri Shein'a bir bilgi talebi (RFI) gönderdi ve kullanıcıların kişisel verilerini nasıl koruduğuna dair 27 Şubat'a kadar daha ayrıntılı bilgi sağlamasını istedi.
🇺🇸 ABD’nin Minnesota Eyalet Başsavcısı, sosyal medyanın ve yapay zekanın eyaletin gençleri üzerindeki olumsuz etkilerini ayrıntılarıyla anlatan bir rapor yayınladı.
⚖️ ABD'de 12'den fazla eyaletin katılımıyla oluşturulan bir koalisyon, Elon Musk’ın başında olduğu Hükümet Verimliliği Bakanlığı’nın, Amerikalılara ait kişisel verileri içeren hassas federal hükümet ödeme sistemlerine erişimini engellemek için dava açmayı planladıklarını duyurdu.
🇬🇧 Washington Post’ta yayınlanan bir habere göre, İngiltere yetkililerinin Apple'dan "dünya çapındaki herhangi bir Apple kullanıcısının buluta yüklediği tüm içeriğe" arka kapı erişimi sağlamasını talep ettiğini belirtildi.
Yaptırımlar & Kararlar
🔥 Rekabet Kurumu, kullanıcı verilerini sunduğu diğer hizmetler ile birleştirme davranışı üzerine sahibinden.com hakkında soruşturma açtı ve geçici tedbir kararı aldı. Önaraştırma sürecinde Sahibinden’in veri birleştirme politikaları incelendiğinde, kurumsal ve bireysel üyelerin vasıta satış faaliyetlerine yönelik çevrimiçi platform hizmeti kapsamında elde ettiği kullanıcı verilerini sunmuş olduğu diğer hizmetler ile birleştirme davranışının, Kanun’un 6. maddesi kapsamında rekabetin ihlal edildiğini gösteren ciddi bulgu niteliğinde olduğu değerlendirildi.
📩 Yargıtay, şirkete ait bilgi ve belgeleri şahsi e-posta adresine gönderen çalışanın iş sözleşmesinin geçerli nedenle feshine karar verdi. Bilirkişi raporuna göre bilgilerin işletmeyi tehlikeye atabilecek düzeyde olmadığı ifade ediliyor ancak mahkeme ise, işveren şirket tarafından sunulan güvenlik protokolüne göre şirketin yazılı izni olmaksızın şirketin ağları kullanılarak dışarıdaki mail kutularına şahsi e-posta dahi olsa bilgi göndermenin yasak olduğunu, bilginin içeriği dahi tartışılmaksızın yalnızca göndermenin bile bilgisayar ağında olumsuz tehlike ve risk yaratabileceği gerekçesiyle iş sözleşmesinin haklı nedenle feshedildiğini belirterek çalışanın tazminat taleplerini reddediyor. Yargıtay ise, bilirkişi raporu ışığında, personel tarafından gerçekleştirilen eylemin haklı fesih ağırlığında olmadığını ve işveren açısından ancak geçerli fesih nedeni teşkil ettiği belirtiyor.
🛡️ Yargıtay, şirkete ait gizli belgeleri cep telefonuna kaydeden çalışanın iş sözleşmesinde öngörülen 150.000 TL cezai şartın geçerli olduğuna karar verdi. İlk derece mahkemesi ve Bölge Adliye Mahkemesi, Borçlar Kanunu 420/1 maddesi uyarınca yalnızca işçi aleyhine olan cezai şartın geçersiz olduğunu belirterek cezai şart talebini reddediyor. Ancak Yargıtay, işçinin sır saklama yükümlülüğü ile gizlilik ve bilgi güvenliği kurallarına aykırı davrandığı, bu yükümlülüklerinin ihlaline bağlı olarak iş sözleşmesinindeki cezai şartın koşullarının oluştuğunu belirtiyor ve ilgili mahkeme kararını ortadan kaldırıyor.
🇪🇺 Avrupa Birliği Adalet Divanı (ABAD) Başsavcısı Dean Spielman, tüm takma adlı verilerin kişisel veri olmadığını ve GDPR’ın varsayılan olarak uygulanmayacağını belirten dair bağlayıcı olmayan bir görüş yayınladı. Bir başka ABAD görüşünde ise Başsavcı Maciej Szpunar, çevrimiçi reklam pazar yerlerinin veri işleyen olarak hizmet verdiğini ve barındırdığı reklamların GDPR'ı ihlal etmesi durumunda sorumluluktan muaf olduğunu belirtti.
🇮🇹 İtalya’nın veri koruma otoritesi Garante, Google’dan unutulma hakkı kapsamında, veri sahibine karşı yürütülen bir cezai işlemle ilgili güncel olmayan bilgileri gösteren arama sonuçlarını kaldırmasını emretti. Garante bir başka kararında, çalışanların "internet gezintisine dair bilgileri" sistematik olarak toplayıp kaydeden bir işverene 20.000 euro para cezası verdi.
🇪🇸 İspanya veri koruma otoritesi, çalışanların yüz tarama verilerin oluşan biyometrik verilerini işyerine giriş çıkışlarda kullanması üzerine, uygulamanın ölçüsüz olması ve veri koruma etki değerlendirmesi yapılmaması gibi gerekçelerle 220.000 euro para cezası verdi. Bir başka kararında ise, bir sigorta şirketinin 25.000'den fazla eski müşterisine ait verilere yetkisiz bir üçüncü kişinin yetersiz güvenlik önlemleri nedeniyle erişmesi üzerine 4.000.000 euro para cezası verdi.
🇷🇴 Romanya veri koruma otoritesi, veri sahibinin silme talebine yanıt vermemesi ve abonelerin taranmış kimlik belgelerinin uzun süre saklanması nedeniyle mobil operatör şirketi Orange Romania SA'ya 199.020 RON (40.000 euro) para cezası verdi.
🇩🇪 Almanya’da bir mahkeme, bir telekomünikasyon sözleşmesinin akdedilmesine ilişkin verilerin bir kredi derecelendirme kuruluşuna aktarılmasının bilgi edinme hakkının ihlalini oluşturduğuna ve tazminat gerektirdiğine karar verdi ve veri sahibine 400 euro tazminat ödenmesine hükmetti. Ayrıca başka bir mahkeme, veri ihlali nedeniyle kişisel verileri üzerindeki kontrol kaybı yaşayan bir veri sahibine 100 euro tazminat ödenmesine karar verdi.
🇵🇱 Polonya veri koruma otoritesi, hassas hasta bilgilerini toplayabilen video izleme teknolojisi için risk değerlendirmeleri yapmadığı ve veri silme standartlarını uygulamadığını gerekçesiyle Centrum Medyczne Ujastek adlı tıp merkezine 1,15 milyon PLN tutarında para cezası verdi.
Regülasyon Gündemi
🛡️ 21 maddelik Siber Güvenlik Kanunu teklifine dair TBMM Milli Savunma Komisyonu Raporu yayımlandı. İçerikte, Kanunun genel gerekçesi, madde gerekçeleri, Milli Savunma Komisyonu Raporu, muhalefet şerhleri, teklif metni ve Milli Savunma Komisyonunun kabul ettiği metin yer alıyor. Kanun teklifinde, siber güvenliğe ilişkin bazı fiillere (siber saldırı gerçekleştirilmesi, kişisel veya kurumsal verilerin sızdırılması, sızdırılan verilerin yayılması vb.) 15 yıla kadar hapis cezası, diğer bazı fiillere ise (mevzuatın öngördüğü tedbirlerin alınmaması, denetim faaliyetlerinin engellenmesi vb.) 100 milyon TL'ye kadar idari para cezası verilmesi öngörülüyorken; denetim yükümlülüğüne aykırı davranışlar halinde ise ciroya göre ceza verilmesini düzenleniyor.
🇫🇷 Fransa'nın veri koruma otoritesi CNIL, kuruluşların GDPR'a uygun olarak kişisel verileri Avrupa Ekonomik Alanı dışına aktarmalarına yardımcı olmak için Veri Aktarımı Etki Değerlendirmesi (TIA) Rehberi yayımladı. CNIL tarafından yayımlanan Rehber, Standart Sözleşmeler (SCC) veya Bağlayıcı Şirket Kurallarına (BCR) dayalı veri aktarımlarda, transfer etki değerlendirmesi sürecini ayrıntılarıyla açıklıyor.
🤖 Avrupa Komisyonu, AB Yapay Zeka Tüzüğü’ne göre (AI Act) 2 Şubat'ta yürürlüğe giren yasaklı yapay zeka uygulamalarına dair yönergeler yayımladı. Rehberin, "güvenli ve etik bir AI ortamı" elde etmeye yardımcı olacak uyumluluk adımları içerdiği ve "yasal açıklamalar ile pratik örnekler" sağlamayı amaçladığı belirtildi. Komisyon ayrıca, yine 2 Şubat'ta yürürlüğe giren AI okuryazarlığına dair gereklilikler hakkında yönergeler yayınladı. Komisyon, bu yönergeler ile "sağlayıcılara ve diğer ilgili kişilere, kuralların etkili bir şekilde uygulanmasını kolaylaştırmayı" amaçladığını belirtti.
🇪🇺 AB Yapay Zeka Ofisi, sektör ve şirket büyüklüğüne göre Yapay Zeka Tüzüğü uyumluluğunu ayrıntılı olarak açıklayan AI okuryazarlığına dair içerik havuzu yayımladı.
🗽 ‘‘Dijital Adalet Yasası'‘ olarak bilinen 4276 sayılı Tasarı, New York Eyalet Senatosu'na sunuldu. Tasarı, New York Eyaletinde iş yapan ve bu işin bir parçası olarak 500 veya daha fazla benzersiz bireyin kişisel verilerini işleyen ve muhafaza eden tüzel kişiler için yükümlülükler ve yasaklar getiriyor.
🇪🇺 AB genelinde siber güvenlik olaylarına karşı hazırlık, tespit ve müdahaleyi iyileştirmek için kabul edilen AB Siber Dayanışma Yasası ( The EU Cyber Solidarity Act) 4 Şubat’ta yürürlüğe girdi. Yasa siber tehditlerin tespitini, analizini ve bunlara verilen yanıtı iyileştirmek için bir Avrupa Siber Güvenlik Uyarı Sistemi oluşturulmasını öngörüyor ve sistem AB genelinde tehditleri tespit edip yetkililerle uyarıları paylaşabilen ulusal ve sınır ötesi Güvenlik Operasyon Merkezlerinden (SOC'ler) oluşuyor. Ayrıca, üye devletlerin acil durum saldırılarına hazırlanmaları, bunlara yanıt vermeleri ve bunları azaltmaları için bir Siber Güvenlik Acil Durum Mekanizması kuruluyor.
🇬🇧 İngiltere hükümeti, yapay zeka sistemlerine yönelik siber güvenlik risklerini ele almak amacıyla hazırlanan AI Siber Güvenlik Uygulama Tüzüğü ve kılavuzu yayınladı.
🇸🇪 İsviçre veri koruma otoritesi, veri güvenliği ihlallerinin kuruma ve ilgili kişilere bildirilmesine ilişkin bir kılavuz yayınladı.
Veri İhlali Gündemi
🚨 Kişisel Verileri Koruma Kurumu, Afyon Kocatepe Üniversitesi ve Organik Haberleşme Teknolojileri Bilişim Sanayi Ticaret Limited Şirketi tarafından Kurula iletilen iki yeni KVKK kişisel veri ihlali bildirimi yayınladı.
🕵 Chainalysis tarafından yayınlanan raporda, 2024 yılında fidye yazılımı saldırılarının önceki yıllara göre daha fazla gerçekleştiği ancak kurbanların fidye ödemelerinde %35'lik bir düşüş olduğunu bildirildi. 2023 yılındaki rekor seviye olan 1,25 milyar dolarlık miktara kıyasla toplamda 814 milyon dolar fidye ödendiği belirtildi.
🇺🇸 ABD'li yemek dağıtım devi Grubhub, şirketin iç sistemlerine sızan bilgisayar korsanlarının müşterilerin ve sürücülerin kişisel bilgilerine eriştiğini doğruladı.
🇬🇧 ABD'li eğitim teknolojisi devi PowerSchool, Aralık 2024'teki veri ihlali sırasında Birleşik Krallık'taki 16.000 öğrencinin kişisel ve hassas verilerinin ele geçirildiğini doğruladı.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru, öneri ve talepleriniz için merhaba@privacyturkey.com adresimizden bize yazabilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Instagram |📍 YouTube 📍 Twitter