Veri Koruma & Mahremiyet Gündemi #130
🗓️ 24 Eylül Salı gerçekleşecek Yapay Zeka webinarımıza davetlisiniz, 🇹🇷 KVK Kurumundan kamuoyu duyurusu, 🇪🇺Avrupa Komisyonundan Türkiye'de yerleşik şirketleri de ilgilendiren standart sözleşmeler
Selamlar, 24 Eylül Salı saat 16:00’da düzenleyeceğimiz yapay zeka ve kişisel verilerin korunmasına dair webinar’a davetlisiniz!
Her Pazartesi Türkiye’den ve dünyadan veri koruma alanında yaşananları gelişmeler, yaptırım, regülasyon ve veri ihlalleri başlıkları altında aktardığımız bültene abone olabilir; sorularınız ve etkinlik/eğitim talepleriniz için merhaba@privacyturkey.com adresine yazabilirsiniz.
Keyifli okumalar.
🗓️ Yapay Zeka Alanında Kişisel Verilerin Korunması:
Kullanım ve Geliştirme Süreçlerine Dair Soru-Cevap Etkinliği
Yapay zeka teknolojileri hayatımızın her alanına hızla entegre olurken, bu teknolojilerin kişisel verilerin korunmasıyla ilgili hangi sınırlar dahilinde hareket ettiği büyük önem kazanıyor ve giderek yepyeni sorular ile uyum ihtiyaçlarını da beraberinde getiriyor.
Veri koruma düzenlemeleri yapay zeka konusundaki gelişmelere nasıl cevap veriyor? KVKK gibi Türkiye’deki mevcut yasal çerçeve, Avrupa Birliği’nin veri koruma ve yapay zeka ile ilgili yeni düzenlemeleri, kişisel verilerin korunması açısından iş dünyasından bireylere kadar herkes için ne anlama geliyor? Tüm bu gelişmeleri Türkiye'de alanında öncü değerli isimler eşlinde birlikte keşfedeceğimiz ve merak ettiğimiz sorulara uzman konuklarımızla yanıt arayacağımız ücretsiz webinar'a davetlisiniz!
Konuklarımız:
Av. Işıl Selen DENEMEÇ – T.C. Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Hukuk Müşaviri
Dr. Osman Gazi Güçlütürk – Galatasaray Üniversitesi Hukuk Fakültesi Öğretim Üyesi
📅 24 Eylül 2024 Salı
🕓 16:00 – 17:30
💻 Teams (Webinar)
Kayıt: privacyturkey.com
24 Eylül 2024 Salı saat 16:00’da düzenlediğimiz online etkinlik, Data Privacy Türkiye ekibimizden Av. Arif Candemir’in moderatörlüğünde ve soru-cevap formatında gerçekleşecek olup bizimle paylaşacağınız sorulara da yer vereceğiz.
Alanında uzman isimlerin sizlere rehberlik edeceği kapsamlı bu webinar’a katılım için linkteki kayıt formunu doldurmanızı rica ederiz.
Haftanın Gelişmeleri
🇹🇷 Kişisel Verileri Koruma Kurumu, veri ihlali haberleri hakkında kamuoyu duyurusu yayımladı. Duyuruda özetle şu ifadelere yer verildi; ''Muhtelif haber kanallarında ve sosyal medya platformlarında 108 milyon vatandaşımızın verilerinin çalındığına ilişkin haberler yer almakta olup Kurumumuza konuya ilişkin olarak intikal etmiş herhangi veri ihlali bildirimi bulunmamaktadır. Medyada daha önce de benzer haberlerin yer almış olması sebebiyle özellikle pandemi sürecinde meydana geldiği iddia edilen veri ihlali haberleri ile ilgili halihazırda Kişisel Verileri Koruma Kurulu tarafından alınmış resen inceleme kararı bulunmakta olup, ilgili kamu kurumları ile koordineli bir şekilde çalışmalara devam edilmektedir.''
🇦🇺 Meta hakkında Avustralya’da yürütülen soruşturma kapsamında, yapay zeka modellerini eğitmek amacıyla Avustralyalı yetişkin Facebook kullanıcılarının 2007'den bu yana kamuya açık tüm paylaşımların izin seçeneği sunulmadan kullanıldığı Meta yetkilileri tarafından kabul edildi. Meta, kullanıcıların herkese açık Facebook ve Instagram paylaşımlarını yapay zekayı eğitmek için kullanmayı hedefliyor ancak GDPR yükümlülüklerden dolayı, Avrupalı kullanıcılar bu içeriklerin kullanılmasından vazgeçebiliyor (opt-out).
🇧🇷 Brezilya veri koruma otoritesi, Meta'nın yapay zekasını eğitmek için kişisel verileri kullanma yasağını; çocukların hesaplarından veri kullanılmaması ve diğer kullanıcılara reddetme seçeneği sunulması şartıyla kaldırdı. Benzer bir gelişme de Birleşik Krallık veri koruma otoritesi ICO tarafında yaşandı.
🇮🇪 İrlanda’nın veri koruma otoritesi DPC, Google'ın yapay zeka uygulamalarının AB'nin veri koruma mevzuatıyla uyumlu olup olmadığını doğrulamak üzere Google hakkında sınır ötesi bir yasal soruşturma başlattığını duyurdu. DPC, Google'ın temel yapay zeka modeli olan Pathways Language Model 2'nin geliştirilmesi için AB ve Avrupa Ekonomik Alanı (AEA) kullanıcılarının kişisel verilerini işlemeden önce GDPR kapsamında bir değerlendirme yapıp yapmadığını bilmek istiyor. DPC yetkilileri, kişisel verilerin işlenmesinin yüksek bir risk içerdiği durumlar için Veri Koruma Etki Değerlendirmesinin hazırlanması gerektiğini belirtiyor.
🇪🇺 Avrupa Birliği Yapay Zeka Yasası’nın (AI Act) 1 Ağustos 2024 tarihinde yürürlüğe girmesinin ardından, AB Yapay Zeka Kurulu ilk resmi toplantısını duyurdu. Toplantının gündemi, YZ Kurulu'nun organizasyonunun oluşturulması ve prosedür kurallarının kabul edilmesi gibi başlıklar oluşturuyor.
🇩🇪 Hamburg Veri Koruma Kurumu tarafından yayımlanan tartışma raporuna göre; ChatGPT gibi büyük dil modellerini (LLM) kişisel verileri depolamadığı ve bu nedenle LLM sağlayıcısından ziyade LLM sohbet robotunu yükleyenlerin, ilgili kişilerin taleplerinden “en azından LLM sohbet robotunun girdisi ve çıktısı bakımından sorumlu olması’’ gerektiği belirtiliyor. Danimarka DPA’nın Ekim 2023 tarihli rehberine atıfta bulunan raporda, yapay zeka modellerinin kişisel veri teşkil etmediğini, çünkü bunların yalnızca kişisel verilerin işlenmesinin bir sonucu olduğu ifade ediliyor.
Ek bilgi: Avrupa Veri Koruma Kurulu’nun (EDPB) 23 Mayıs 2024 tarihli ChatGPT Taskforce isimli raporu ise bu konuda farklı bir yaklaşım izliyor.
Yaptırımlar & Cezalar
🇵🇹 Portekiz veri koruma otoritesi, veri sahibinin izni olmadan çok sayıda istenmeyen pazarlama iletisi gönderen bir şirkete 107.000 Euro para cezası verdi. Verilerin doğrudan pazarlama hizmetleri sağlamak için alt sözleşme yapılan bir başka ajanstan elde edildiği ve veri sorumlusunun hizmet sağlayıcı ajans olduğu savunması dikkate alınmadı.
💼 T.C. Anayasa Mahkemesi Resmi Gazete’de bugün yayımladığı bir kararında, zam oranından memnuniyetsizliğe dair e-posta içeriğinde kullandığı ifadeler nedeniyle, işverence haklı nedenle iş sözleşmesi feshedilen çalışanın ifade özgürlüğünün ihlal edildiğine karar vererek, 30.000 TL manevi tazminata hükmetti.
⚖️ T.C. Ticaret Bakanlığı'na bağlı Reklam Kurulu, “yalnızca avukatların yapabileceği işlere” ilişkin tanıtımlar yayınlayan bir danışmanlık firmasına 550.059-TL para cezası uyguladı. Yapılan incelemeler sonucunda, sadece baro kaydı olan avukatların yetkisinde olan faaliyetlerin firma tarafından yürütüldüğünün ifade edilmekle birlikte ilgili firmanın bu alanda bir yetkisinin bulunmadığı belirtildi. Ayrıca, Avukatlık Kanunu uyarınca, herhangi bir çıkar karşılığında avukata iş getirmeye aracılık faaliyetinin suç teşkil ettiği vurgulandı.
🇫🇷 Fransa’nın veri koruma otoritesi CNIL, sağlık yazılımı hizmet sağlayıcısı olan CEGEDIM SANTÉ adlı bir şirkete, platformdaki verileri izinsiz olarak sağlık çalışmaları yapmak için kullanan müşterilere aktardığı gerekçesiyle 800.000 Euro para cezası verdi.
🇵🇱 Polonya veri koruma otoritesi, mBank S.A. adlı bir bankada gerçekleşen veri ihlali nedeniyle yaklaşık 1 milyon Dolar para ceza verdi. İhlalin bir banka çalışanın birçok kişisel veri içeren müşteri belgelerini yanlışlıkla yetkisiz bir finansal kuruma göndermesi ile gerçekleştiği belirtilirken, her ne kadar bu belgelerin yer aldığı mektup mBank’a iade edilmiş olsa da, üçüncü kişi olan finansal kurumun bu belgelere erişmiş ve içeriklerini okumuş olabileceği değerlendirildi.
Regülasyon Gündemi
🇪🇺 Avrupa Komisyonu, Türkiye'de yerleşik GDPR'a tabi şirketleri de ilgilendiren standart sözleşmeler için kamuoyu görüş çağrısı başlattı. Kişisel verilerin AB dışındaki GDPR'a tabi kuruluşlara aktarılmasında kullanılacak standart sözleşmelerin hazırlık sürecine başlandığı ilan edilirken, Avrupa dışında yerleşik ve GDPR kapsamında veri sorumlusu ya da veri işleyen olabilecek Türk şirketleri ilgilendiren standart sözleşme hükümlerinin, 2025'in 2. çeyreğinde kabul edileceği belirtildi.
Ek bilgi: Eğer Türk bir şirket, AB vatandaşlarına ürün veya hizmet sağlıyor ve onların kişisel verilerini işliyorsa, Avrupa Birliğinin veri koruma düzenlemesi olan GDPR'ın bölgesel kapsamını düzenleyen 3. maddesine göre sorumlu kabul edilebiliyor. GDPR kapsamında değerlendirilmeyen ancak Türkiye'de yerleşik şirketlere aktarılan kişisel veriler içinse halihazırda AB Komisyonu tarafından 2021 yılında kabul edilen standart sözleşme hükümlerinin uygulandığını belirtelim.
🇹🇷 T.C. Ulaştırma ve Altyapı Bakanlığı'nın koordinasyonunda hazırlanan ''Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2024-2028)’’ yayımlandı. Türkiye’nin siber güvenlik alanında vizyon belgesi olarak kabul edilen Eylem Planında, 6 stratejik amaç ve 18 hedef bulunuyor. Eylem Planı hakkında, Cumhurbaşkanlığı Genelgesi de Resmi Gazete’de yayımlandı ve ‘‘tüm kurum ve kuruluşların üzerine düşen görev ve sorumlulukları hassasiyetle yerine getirmesi gerektiği’’ ifade edildi.
🇪🇺 Avrupa Komisyonu, 12 Eylül 2025 tarihinde yürürlüğe girecek AB Veri Yasası'nın (Data Act) getirdiği kuralları ve uygulamasını açıklayan bir SSS yayınladı. İçerikte, "kimin hangi verileri hangi koşullar altında kullanabileceğini" açıklanıyor.
🤝 AB Dijital Piyasalar Yasası'nın (DMA) uygulanmasından sorumlu Avrupa Komisyonu ile Avrupa Veri Koruma Kurulu (EDPB), DMA ile GDPR arasındaki etkileşime dair rehberlik sağlamak amacıyla birlikte çalışmayı kabul etti. DMA’nin amaçlarından biri, “gatekeeper” olarak adlandırılan ve dijital pazarda sistematik rolü olan büyük online platformlarla ilgili kurallar getirmek. Bu iş birliği sonucu EDPB, DMA’da belirtilen bu gatekeeper’ların yükümlülüklerine odaklanarak, bu yükümlülüklerin GDPR ile uyumlu olmasını sağlamaya yönelik çalışmalar yürütecek.
🇩🇪 Alman Federal Hükümeti, çerezlerin kullanımı ve kullanıcı onayının sağlanmasıyla ilgili gereklilikleri belirleyen Onay Yönetimi Tüzüğü'nü kabul etti. Onay yönetimi hizmetlerinin, kullanıcılar onay kararlarını verdikten sonra kalıcı olarak saklaması gerekecek ve bu sayede tekrarlanan onay taleplerine olan ihtiyaç azalacak.
🇳🇱 Hollanda veri koruma otoritesi, Avrupa Dijital Hizmetler Yasası’na (DSA) uyum için yeni bir rehber yayınladı.
Veri İhlali Gündemi
🇹🇷 Kişisel Verileri Koruma Kurumu, bir yeni KVKK veri ihlali bildirimi yayınladı. İncirli Sağlık ve Sosyal Tesisler A.Ş. tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle, ihlalin;
Veri sorumlusunun bilişim sistemine dışarıdan müdahale edilerek kayıtlı olan tüm uygulamalar dahil tüm verilerin silinmesi, yok edilmesi ve yedeklerinin imha edilmesi şeklinde gerçekleştiği,
14.08.2024 tarihinde başladığı, 04.09.2024 tarihinde sona erdiği,
Etkilenen kişi grubunun çalışanlar ve hastalar olduğu,
Etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, sağlık bilgileri, cinsel hayat, biyometrik veri, genetik veri kategorileri olduğu,
Tüm kayıtların silinmesi sebebi ile veri sorumlusunda şimdiye kadar çalışmış olan tüm personel ile ayakta ve yatan hasta sayısının bilinmesinin mümkün olmadığı ancak ihlalden etkilenen kişi sayısının tahmini 1000 ve üzeri olduğu bilgilerine yer verildi.
🛡️ Siber güvenlik devi Fortinet, müşteri verilerini içeren bir veri ihlalini duyurdu. Açıklamada, siber saldırganın Fortinet'e ait üçüncü taraf paylaşımlı bir bulut sunucuda depolanan "sınırlı sayıda dosyaya" eriştiği ve bunların müşterilerinin "%0,3'ünden azına" ait verileri içerdiği belirtildi.
🚘 Araç kiralama devi Avis, Ağustos ayında gerçekleşen siber saldırıda yüz binlerce kişiye ait; müşteri adları, posta adresleri, e-posta adresleri, telefon numaraları, doğum tarihleri, kredi kartı numaraları ve son kullanma tarihleri ve sürücü belgesi numaralarından oluşan kişisel verilerin ele geçirildiğini ABD’li yetkililere bildirdi.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru ve etkinlik taleplerinizi merhaba@privacyturkey.com adresimizden bize iletebilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Twitter | 📍 Instagram