Veri Koruma & Mahremiyet Gündemi #153
🔥 Rekabet Kurulu'ndan BİM'e 1,3 milyar TL ceza, 👀 Yargıtay'dan verilerin okuyup ezberlenerek elde edilmesine ceza, 💻 İş bilgisayarını başkasına kullandıran çalışanın işten çıkarılmasına onay
Selamlar, veri koruma ajandamız her zamanki gibi yine oldukça yoğun.
Her Pazartesi Türkiye’den ve dünyadan veri koruma alanında yaşanan gelişmeleri yaptırımlar, regülasyon ve veri ihlalleri gibi ana başlıklar altında aktarıyoruz. Haftalık e-posta bültenine linkten abone olabilirsiniz. İletişim için merhaba@privacyturkey.com adresinden bize ulaşabilirsiniz.
İyi okumalar.
Haftanın Gelişmeleri
🇹🇷 KVKK kapsamında şimdiye kadar 1 milyar TL'ye yakın idari para cezası uygulayan Kişisel Verileri Koruma Kurulu’nun halka açık yayımladığı en yüksek 13 para cezasını gerekçeleriyle birlikte derledik.
🎬 Kişisel Verileri Koruma Kurumu’nun yayımladığı “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi” hakkındaki soru-cevap etkinliğimizi YouTube'da paylaştık.
📆 IAPP, 2025’in önemli tarihlerini derleyen içeriğini güncelledi. Takvimde, veri koruma alanına dair hukuki düzenlemeler, önemli yıldönümleri ve etkinlikler gibi tarihler belirtiliyor.
🇬🇧 Birleşik Krallık veri koruma otoritesi ICO, 2025 "Teknoloji Ufukları" adlı raporunu yayımladı. Rapor, önümüzdeki birkaç yıl boyunca veri koruma alanını etkileyebilecek; bağlı araçlar ve ulaşım, kuantum algılama ve görüntüleme, dijital teşhis ve sağlık altyapısı ve sentetik medyayı tanımlama ve tespit etme teknolojilerini ele alıyor.
🌟 Ticaret Bakanlığı'na bağlı Reklam Kurulu, herhangi bir objektif kriter veya ölçüme dayanmadan ödeme veya bağış karşılığı ödül vererek, tüketicileri yanıltan organizasyonları inceleme altına aldı. Ayrıca Reklam Kurulu'nun yeni aldığı bir karar, tüketicilerin Google’da yorum yapmasını herhangi bir şekilde yasaklamıyor.
🇬🇧 Apple, İngiliz hükümetinin kullanıcı verilerine erişim talep etmesinin ardından, İngiltere kullanıcıları için şifreleme aracını kaldırmayı planladığını duyurdu. BBC’de yer alan habere göre, Apple'ın Gelişmiş Veri Koruması adlı aracı, kullanıcıların uçtan uca şifreleme kullanarak iCloud'a veri yüklemesine olanak tanıyor ancak bu karar sonrası iCloud'da saklanan tüm İngiltere müşteri verilerinin tamamen şifrelenmeyeceği ileri sürülüyor.
🧠 OECD’nin Yapay Zeka Yönetişimi Çalışma Grubu ve Yapay Zeka Küresel Ortaklığı, kuruluşların yapay zeka sistemlerini eğitmek için veri toplama ve kullanma biçimlerinin fikri mülkiyet etkilerini inceleyen bir rapor yayınladı. Özellikle veri kazıma konusuna (data scraping) odaklanan rapor, çeşitli yaklaşımları ve olası çözümleri inceliyor.
⚔️ Meta’nın Küresel İşler Başkanı, Avrupa Birliği’nin Meta’nın ürünlerini haksız yere hedef aldığını düşündüğü düzenlemeleri yürürlüğe koyması durumunda şirketin endişelerini Başkan Donald Trump’a iletmeye hazır olduğunu belirtti. Meta’ya geçtiğimiz Kasım ayında, Facebook Marketplace uygulamalarına dair AB Dijital Piyasalar Yasası (DMA) kapsamında 797 milyon euro para cezası verilmişti.
🔍 BBC’nin haberine göre Google Chrome, çevrimiçi reklam verenlerin kullanıcılar hakkında daha fazla veri toplamasına olanak tanıyan "parmak izi" adı verilen sisteme izin vermeye başladı. Parmak izi, bir kişinin cihazı ve tarayıcısı hakkında bilgi toplayıp, bunları bir araya getirerek o kişinin profilini oluşturuyor ve reklam hedeflemesi için kullanılabiliyor.
🇧🇷 Brezilya veri koruma otoritesi, 23 profesyonel futbol takımının bilet satışları ve stadyum girişleri için yüz tanıma teknolojisinin kullanımını inceledi ve yüz tanıma sistemlerinin sürekli kullanımı için veri koruma etki değerlendirmesi hazırlayıp sunmaları yönüne talimat verdi.
🇪🇺 Avrupa Tüketici Örgütü (BEUC), çocuklar için geliştirilmiş çevrimiçi korumaya dair 'Better Safe Than Sorry' başlıklı politika önerilerini içeren bir rapor yayınladı. GDPR'a saygılı yaş güvence araçları, küçüklere yönelik hedefli reklamların yasaklanması, çocukların zaaflarını istismar eden özelliklerin kısıtlaması gibi tedbirler öneriliyor.
🇩🇪 Euractiv'in haberine göre Sosyal platform X (Twitter), platformun AB'nin Dijital Hizmetler Yasası (DSA) uyarınca araştırmacılara kullanıcı verileri sağlamasını zorunlu kılan Berlin Bölge Mahkemesi kararına itiraz ediyor.
Yaptırımlar & Kararlar
🔥 Rekabet Kurulu, yerinde inceleme sırasında veri silme eylemi nedeniyle BİM Birleşik Mağazalar A.Ş. hakkında 1 milyar 300 milyon TL para cezası uyguladı. BİM’in genel merkezinde yapılan yerinde incelemede, yerinde inceleme başladıktan sonra bir BİM yöneticisi tarafından veri silme eylemi gerçekleştirilmesi üzerine yaptırım kararı alındığı ifade edildi. Yerinde incelemelerin Rekabet Kurumu tarafından en son teknolojiye sahip cihazlarla titizlikle gerçekleştirildiği ifade edilirken, incelemenin sadece işle ilgili unsurları kapsadığı, kişisel veri veya özel verilere hiçbir surette dokunulmadığı ve bu verilerin inceleme kapsamı dışında tutulduğu belirtildi.
💼 Yargıtay, bir çalışanın işyerindeki kişisel verileri kopyalayıp sonraki işyeriyle paylaşması üzerine işverene manevi tazminat ödemesine karar verdi.
👀 Yargıtay, kişisel verilerin fiziksel veya dijital olarak kopyalanmasa bile sadece okuyup ezberlenerek elde edilmesinin de suç teşkil edeceğine karar verdi.
💻 İş bilgisayarını bir başkasına kullandıran ve ticari sırların ele geçirilmesine neden olan personelin iş sözleşmesini fesheden şirket istinaf yargılamasında haklı bulundu. Somut olayda, personelin kendisine tahsis edilen ve içerisinde işyerine ait ticari sırların bulunduğu bilgisayarı, daha önce aynı işyerinde uzun süre çalışan ve olay tarihinde rakip firmada çalışan arkadaşına kullandırdığı ve işyeri sırlarının elde edildiği belirtildi.
📱 Yargıtay, bir ceza yargılamasında cep telefonu mesajlarının ekran görüntüsünü delil olarak kabul etmedi. Kararda, mesajların cep telefonu ekran görüntüsü olarak dosyaya sunulduğu, çıktıların fotokopiden ibaret olduğu, mağdurun telefonunda asıllarının olmadığı belirtildi.
🟢 Bölge Adliye Mahkemesi, çalışanlar arasındaki WhatsApp grubu yazışmaları nedeniyle personelin iş sözleşmesini fesheden şirketi haklı buldu. Somut olayda, grubun tamamen özel yazışma amacıyla kurulduğu, bu yazışmaların bir kısmında şirkete ait bir ürünün kötülendiği ve işyeri yetkililerine hakaret içeren sözler sarf edildiği belirtilirken, bu yazışmaların salt kişisel veri niteliğinde kabul edilerek delil olarak kullanılmayacağını varsaymanın işverene açık bir haksızlık sayılacağı kararda ifade edildi.
🇰🇷 Güney Kore veri koruma otoritesi, Çinli yapay zeka modeli DeepSeek hizmetlerini 15 Şubat 2025 itibarıyla geçici olarak askıya aldı. Askıya almanın, DeepSeek gerekli iyileştirmeleri yapana kadar devam edeceği belirtilirken, kararın gizlilik politikalarındaki eksiklikler ve veri koruma yasasına uyulmaması nedeniyle verildiği ifade edildi.
🇧🇪 Belçika veri koruma otoritesi, öğrenci bölgesinde gerçekleşen akıllı gürültü ölçümü pilot projesindeki çeşitli GDPR ihlalleri nedeniyle Antwerp belediyesine bir kınama kararı verdi ve proje süresince toplanan sesleri içeren tüm kayıtları silmesini emretti.
🇦🇹 Avrupa Birliği Adalet Divanı'nın (ABAD) bir kararının ardından, Avusturya’da bir mahkeme, veri sahibinin 73 başka şikayette bulunmuş olması nedenine dayanarak DPA'nın şikayeti reddedemeyeceğine karar verdi.
🇪🇺 Bir ABAD kararında, veri koruma otoriteleri ve mahkemelerin para cezası miktarlarını belirlerken veri sorumlusunun bir teşebbüsün parçası olup olmadığını dikkate almaları gerektiği belirtildi. Para cezalarının azami miktarını veri sorumlusunun cirosuna değil, bağlı olduğu teşebbüsün cirosuna dayandırmaları gerektiği ifade edildi.
🇬🇷 Yunanistan veri koruma otoritesi, Google’dan unutulma hakkı kapsamında, veri sahibine karşı yürütülen bir cezai işlemle ilgili güncel olmayan bilgileri gösteren arama sonuçlarını kaldırmasını emretti. Kararda Google'a, doğrudan iletişim bilgileri sağlaması ve otomatik yanıtları durdurarak silme talebi sürecini değiştirmesi talimatı da verildi.
🇳🇱 Hollanda veri koruma otoritesi, e-ticaret sitesinin çerez başlığında, site ziyaretine dayanarak veri sahiplerinin izlemeye onay verdiğini varsayan bir işletmeye 40.000 euro para cezası verdi.
🇵🇱 Polonya veri koruma otoritesi, web sitesindeki yapılandırma hatasının 21.453 kişiyi ilgilendiren bir veri ihlaline yol açmasının ardından, site operatörüne 350.000 euro, veri işleyen firmaya ise 4.590 euro para cezası verdi.
🇪🇸 İspanya veri koruma otoritesi, veri sahibini yeterli şekilde bilgilendirmeden kimlik belgesinin bir kopyasını talep eden bir gayrimenkul yatırım şirketine 100.000 euro para cezası verdi.
Regülasyon Gündemi
🇪🇺 Avrupa Komisyonu'nun AI Sorumluluk Direktifi teklifini geçen hafta geri çekmesinin ardından, Avrupa Parlamentosu İç Pazar ve Tüketici Koruma Komitesi üyeleri teklif üzerinde çalışmaya devam etme yönünde oy kullandı. Ancak Avrupa Parlamentosu Hukuk İşleri Komitesi direktifi takip etmeye dair devam kararı almadı.
🇺🇸 Geçen yıl yasama organında büyük bir çoğunlukla kabul edilen ancak Kaliforniya valisi tarafından veto edilen, web tarayıcıların çevrimiçi davranışsal reklamcılık için evrensel bir devre dışı bırakma seçeneği sunmasını gerektiren yasa tasarısı yeniden sunuldu.
🇸🇪 İsveç veri koruma otoritesi, Veri Koruma Etki Değerlendirmesi (DPIA) yürütme konusunda bir rehber yayımladı. Rehber, DPIA gerekliliğinin değerlendirilmesi, sistematik veri işleme açıklaması, hukuki analiz, risk tanımlama ve azaltma gibi süreçleri açıklıyor.
🇵🇱 Polonya veri koruma otoritesi, veri ihlallerle ilgili olarak risk değerlendirmeleri, pratik örnekler ve tedbirlere dair güncellenmiş bir rehber yayımladı.
🇺🇸 Virginia'nın her iki yasama meclisinden de geçen Yüksek Riskli Yapay Zeka Geliştiricisi ve Dağıtıcısı Yasası, Vali tarafından onaylandığında riskli yapay zeka sistemlerine dair geliştiriciler ve dağıtıcılar için yükümlülükler getiriyor. Ayrıca, sosyal medya platformları ve bağımlılık yaratan yayınlar hakkındaki yasa tasarısı da her iki mecliste kabul edildi.
🛡️ Avrupa Komisyonu, Dijital Operasyonel Dayanıklılık Yasası (DORA) kapsamında Tehdit Odaklı Penetrasyon Testi (TLPT) için Düzenleyici Teknik Standardı (RTS) yayımladı.
🇺🇸 New Mexico Senato Komitesine havale edilen Topluluk Gizliliği ve Güvenlik Yasası olarak bilinen taslak düzenleme, kuruluşların gizlilik ayarlarını geliştirmeleri, net gizlilik bilgileri sağlamaları, tüketici hakları araçları sunmaları ve yüksek veri güvenliği uygulamaları amaçlıyor.
Veri İhlali Gündemi
🚨 Kripto para borsası Bybit yaptığı açıklamada, şirketin çevrimdışı cüzdanlarından birinden, 1,5 milyar dolara denk gelen 401.346 ETH (Ethereum) çalınmasına "karmaşık bir saldırı"nın yol açtığını duyurdu.
🛡️ İngiltere'nin sağlık devi HCRG Care Group, bir fidye yazılımı çetesinin şirketin sistemlerine girerek çok sayıda hassas veriyi çaldığını iddia etmesinin ardından, yaşanan siber güvenlik olayını araştırdığını doğruladı.
🇺🇸 TechCrunch'ın haberine göre, eski bir ABD askeri, AT&T ve Verizon'a siber saldırı düzenleme ve şirketlerden büyük miktarda telefon kaydını ele geçirme suçunu kabul etti.
🇪🇨 Ekvador'un yasama organı Ulusal Meclis, sistemlerini bozmayı ve hassas verilere erişmeyi amaçlayan iki siber saldırıya maruz kaldığını bildirdi.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru, öneri ve talepleriniz için merhaba@privacyturkey.com adresimizden bize yazabilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Instagram |📍 YouTube 📍 Twitter
Emeğinize sağlık. Güzel bir ihtiyacı yakaladığınıza inanıyorum. Başarılar🙏