Veri Koruma & Mahremiyet Gündemi #169
🚨 Getir ve BiTaksi sistemlerine dair savcılık soruşturması, 🛡️ Tiffany & Co. KVKK veri ihlali bildirimi, 🕵🏻♂️ Yargıtay özel dedektifliği suç olarak kabul etti, 🔍 RK'dan tüketici gizliliği anketi
Selamlar, her Pazartesi Türkiye’den ve dünyadan veri koruma alanında yaşanan gelişmeleri yaptırımlar, regülasyon ve veri ihlalleri gibi ana başlıklar altında aktarıyoruz. Haftalık e-posta bültenine linkten abone olabilirsiniz. İletişim için merhaba@privacyturkey.com adresinden bize ulaşabilirsiniz.
İyi okumalar.
Haftanın Gelişmeleri
🔍 Rekabet Kurumu, çevrimiçi reklamcılık pazarını incelediği nihai raporu yayımladı. Raporda, kişisel verilerin reklamcılıktaki rolüne ve tüketici tutumlarına dair çarpıcı anket sonuçları yer alıyor. Örneğin, tüketicilerin %71,5’inin çevrimiçi platformları kullanırken kişisel verilerini paylaştıklarının farkında olmadığı; %81,7’inin ücret ödemeden yararlanılan platformların nasıl finanse edildiğini bilmediği ve gizlilik politikalarının okunma oranları gibi dikkate değer bulgular paylaşılıyor.
🚨 İstanbul Cumhuriyet Başsavcılığı, Getir ve BiTaksi'nin sistemlerine izinsiz erişim sağlandığı ve kullanıcı verilerinin ele geçirildiği iddiasıyla soruşturma başlattı. Habere göre, savcılık tarafından şüpheli hakkında TCK 244 (bilişim sistemine girme), TCK 136 (kişisel verileri hukuka aykırı elde etme) ve TCK 107 (şantaj) maddeleri uyarınca 5 yıldan 13 yıla kadar hapis cezası verilmesi talep edildi.
📩 Kişisel Verileri Koruma Kurumu, KVKK kapsamında uygulanan idari para cezalarının artık e-Tebligat ile bildirileceğini duyurdu. Veri sorumlularına uygulanan idari para cezalarının bildiriminde, artık T.C. Hazine ve Maliye Bakanlığı Gelir İdaresi Başkanlığı’nın e-Tebligat sisteminin kullanılacak. Bu sistem sayesinde cezalar, ilgili veri sorumlusunun e-Tebligat adresine gönderilecek ve 5. günün sonunda tebliğ edilmiş sayılacak. Vergi mükellefi kaydı olmayan ya da kaydı silinmiş veri sorumlularına yönelik tebligatlar ise 7201 sayılı Tebligat Kanunu hükümlerine göre yapılmaya devam edecek.
🧠 Kişisel Verileri Koruma Kurumu, KVKK Bülten'in yeni sayısını ''Yapay Zekâya Genel Bakış'' temasıyla yayımladı. Bireysel ve sektörel farkındalığı artırmak adına yayımlanan bu sayıda, yapay zeka ve kişisel verilerin korunması alanına dair birçok içerik yer alıyor.
🇺🇸 Nebraska eyalet başsavcılığı, yasa dışı veri toplamak ve satın alımları teşvik etmek için aldatıcı ticari uygulamalar kullandığı iddiasıyla Çinli e-ticaret pazar yeri Temu hakkında dava açtı.
💊 ABD’li genetik test şirketi 23andMe'nin iflas sürecindeki satışının bireylerin gizliliği üzerindeki etkisini analiz etmekle görevli tüketici gizliliği ombudsmanı, şirketin devasa genetik veri hazinesinin satışı için mahkeme onayı alınmadan önce kullanıcıların onayının alınmasını istedi.
Ek bilgi: ABD’de 29 eyalet başsavcısı şirketin iflas sürecindeki satışını engellemek için dava açtı. İflas şartları uyarınca, yaklaşık 15 milyon müşterinin genetik verilerinin satılması planlanıyor.
🤝 Avrupa Veri Koruma Denetçisi ile İspanya veri koruma otoritesi, işbirlikçi öğrenmenin yapay zeka gelişimi üzerindeki etkisini ana hatlarıyla açıklayan bir rapor yayınladı.
🇬🇧 Birleşik Krallık İletişim Kurumu Ofcom’un hazırladığı rapora göre, Çevrimiçi Güvenlik Yasası'nın yapay zekanın oluşturduğu deepfake riskleriyle mücadele planının önemli bir parçası olacağı açıklandı. Raporda, 16 yaş üstü İngiltere internet kullanıcılarının beşte ikisinin bir deepfake gördükleri; bunlar arasında yedide birinin ise cinsel içerikli bir deepfake ile karşılaştıkları belirtiliyor. Ofcom ayrıca, yasa kapsamında çocukların güvenlik yükümlülüklerine uyulmadığı iddiasıyla ilgili birkaç soruşturma başlattı.
🤖 İngiliz Yüksek Mahkemesi, bir avukatın 90 milyon sterlin değerindeki dava dosyasına yapay zeka ile hazırlanmış 18 uydurma mahkeme kararı sunduğunu tespit etti. Söz konusu durumun meslek kuruluşlarına bildirdiği ancak henüz ağır bir yaptırım uygulanmadığı ifade edildi. Gerçek olmayan bilgileri mahkemeye sunmanın, ciddi suçlamalara ''hatta adaleti engelleme gibi ağır suçlara'' neden olabileceği vurgulandı.
⚖️ Reuters'ın haberine göre, tüketicilerin Chrome tarayıcılarından kişisel verilerinin izinsiz toplandığını iddia etmesinin ardından, Kaliforniya Kuzey Bölgesi ABD Bölge Mahkemesi Google'a karşı dava toplu dava statüsünü reddetti. Hakim, milyonlarca Chrome kullanıcısının veri toplama politikalarını anlayıp kabul edip etmediğinin her vaka için ayrı ayrı ele alınmasının uygun olduğunu söyledi.
Yaptırımlar & Kararlar
📸 Çocuğuna ait fotoğrafın bir reklamda izinsiz olarak kullanıldığını öğrenen ailenin açtığı dava üzerine 70.000 TL manevi tazminata hükmedildi. Kararın arka planında, çocuğunun fotoğrafının bilgisi ve rızası olmadan bir market zincirinin sattığı ürünlerde, internet sitesinde ve tanıtım broşürlerinde kullanıldığı; markete yapılan uyarılara rağmen, fotoğrafın yer aldığı ürünlerin satışına ve tanıtım faaliyetlerine devam edildiği belirtildi. Fikri ve Sınai Haklar Hukuk Mahkemesi, çocuğa ait fotoğrafın velayet hakkına sahip ebeveynlerinden izin alınmaksızın ticari amaçla reklam afişinde kullanıldığını; bu durumun hem kişilik haklarını ihlal ettiğini hem de Fikir ve Sanat Eserleri Kanunu'na aykırılık teşkil ettiğini vurguladı.
🚫 Sermaye Piyasası Kurulu, Türkiye'de yerleşik kişilere yönelik izinsiz kripto varlık hizmet sağlayıcılığı faaliyetinde bulunduğu ve yurt dışında kaldıraçlı işlem yaptırdığı tespit edilen 34 adet internet sitesine erişim engeli getirdi.
🕵🏻♂️ Yargıtay, dedektiflik faaliyeti adı altında görüntü ve ses kaydı yapan kişilerin özel hayatın gizliliğini ihlal suçu işlediğine hükmetti. Kararın arka planında, boşanma aşamasındaki bir eş, dava sürecinde lehine delil etmek amacıyla sanıklardan birine başvurarak "dedektiflik" hizmeti talep ediyor. Bu kişiler diğer eşin gün içerisinde yaptıkları, gittiği yerler, kiminle niçin, nasıl, nerede ve ne zaman görüştüğü gibi hususları tespit etmek için günler boyunca takip ediyor. Bu süreçte elde edilen bilgi ve görüntüler, devam eden boşanma davasına delil olarak sunuluyor. Yargıtay, kişinin kamuya açık alanda bulunmasının, bu alandaki her görüntü veya sesin dinlenilmesine, izlenilmesine, kaydedilmesine, sürekli ve izinsiz olarak elde bulundurulmasına rıza gösterdiği anlamına gelmediğini belirtiyor.
⚖️ Yargıtay, çalışanların kimlik bilgilerini tanık listesi için eski bir personele gönderen kişinin iş sözleşmesinin geçerli nedenle feshine hükmetti. Kararın arka planında, daha önce iş sözleşmesi feshedilen bir kişi, mahkemeye sunmak üzere tanık olarak göstereceği kişilerin kimlik bilgilerini temin etmek amacıyla eski işyerinde çalışan bir kişiden yardım talep ediyor. Söz konusu çalışan ise, 14 personelin ad, soyad ve T.C. kimlik numaralarını içeren bir listeyi e-posta yoluyla bu eski çalışana gönderiyor. Yargıtay, bilgileri paylaştığı kişinin işverene karşı dava açmış olması ve paylaşılan bilgilerin işveren aleyhine tanıklık yapacak kişilere ait olması nedeniyle işverenin davacıya olan güveninin zedelemiş sayıldığını belirtiyor.
🇪🇸 İspanya veri koruma otoritesi, müşteri hesaplarında meydana gelen çok sayıda veri ihlali nedeniyle Carrefour’a 3.2 milyon euro para cezası verdi. Kararın arka planında, Carrefour 2022 sonlarında müşteri hesaplarına şüpheli erişim tespit ediyor. Ancak bu durumu 3 ay gecikmeli olarak, 2023 Ocak ayında İspanya DPA’sına bildiriyor. Şirket ayrıca, 2023 yılı boyunca toplamda beş farklı veri ihlali bildiriminde bulunuyor. Bu ihlaller, “credential stuffing” yani başka bir yerden sızdırılmış kullanıcı adı-şifre kombinasyonlarının denenmesi saldırılarından kaynaklanıyor. Veri ihlali bildirimi üzerine şirket hakkında soruşturma başlatılıyor.
🇮🇹 İtalya veri koruma otoritesi, popüler yapay zeka sohbet robotu Replika'nın ülkede yasaklanmasının devamına karar verdi. Avrupanın en proaktif otoritelerinden biri olan İtalyan kurum, 2023 Şubat ayında çocuklara yönelik özel riskleri gerekçe göstererek ''sanal arkadaş'' olarak tanıtılan Replika'nın ülkedeki hizmetlerini askıya almasını emretmiş ve devam eden soruşturma sonunda, Replika'nın kullanıcıların verilerini işleme konusunda yasal bir dayanağa sahip olmadığı ve çocukların hizmete erişimini kısıtlayacak bir yaş doğrulama sistemine sahip olmadığı gerekçesiyle 5 milyon euro para cezası vermişti.
🇸🇪 İsveç temyiz mahkemesi, ilgili kişi haklarının kullanımı ve veri işleme politikaları konusunda şeffaf olmayan uygulamalar nedeniyle Spotify'a verilen 58 milyon SEK (yaklaşık 5,2 milyon €) para cezasını onadı.
🇮🇪 İrlanda veri koruma otoritesi, kamu hizmetleri kayıt programı için biyometrik yüz tanıma teknolojisinin kullanımıyla ilgili GDPR ihlalleri nedeniyle Sosyal Koruma Bakanlığı'na 550.000 euro para cezası verdi.
🇦🇹 Avusturya temyiz mahkemesi, kredi puanlamasının GDPR kapsamında başlı başına otomatik bir karar olduğu sonucuna vararak bir kredi acentesine yaptırım uyguladı.
🇳🇴 Norveç veri koruma otoritesi, altı web sitesinin izleme pikseli kullanım sürecini denetledi ve ziyaretçilerin kişisel verilerinin üçüncü taraflarla yasa dışı şekilde paylaşıldığını tespit ederek 250.000 NOK para cezası uyguladı.
Regülasyon Gündemi
🔔 Mali Suçları Araştırma Kurulu (MASAK), avukatlar, muhasebeciler, noterler, e-ticaret aracı hizmet sağlayıcıları, bağımsız denetim kuruluşları, yatırım ortaklıkları ile sigorta ve reasürans brokerleri gibi 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamındaki birçok yükümlüye yönelik ilk kez şüpheli işlem bildirim rehberleri yayımladı.
🇬🇧 Birleşik Krallık Parlamentosu, Birleşik Krallık Genel Veri Koruma Yönetmeliği ve Elektronik İletişim Yönetmeliklerini yeniden düzenleyecek olan Veri (Kullanım ve Erişim) Yasa Tasarısı'nı kabul etti. Yasa tasarısının yürürlüğe girmesi için yalnızca bir formalite olarak kabul edilen Kraliyet Onayı gerekiyor.
🇦🇺 Avustralya’nın veri koruma yasasında yapılan reformların bir parçası olarak, ciddi mahremiyet ihlalleri artık haksız fiil olarak kabul edilecek ve bireyler mahkemede mahremiyet zararları için tazminat talep edebilecek.
🇫🇷 Fransa’nın veri koruma otoritesi CNIL, GDPR uyarınca bir kuruluşun veri sorumlusu, ortak veri sorumlusu ya da veri işleyen olup olmadığını belirlemenin önemini ele alan bir rehber yayınladı. Ayrıca, işyeri anketlerinden toplanan kişisel verilerin korunmasına ilişkin bir rehber daha yayınladı. Rehberde, işverenlerin anonim anketler uygulaması ve anketlerin "isteğe bağlı kalması ve çalışanların uygun şekilde bilgilendirilmesi ve haklarına saygı gösterilmesi" önerildi. Son olarak, e-postalarda izleme piksellerinin kullanımıyla ilgili taslak yönergeler hakkında kamuoyu istişaresi başlattı.
🇧🇷 Brezilya veri koruma otoritesi, nöroteknolojiler ile bunların oluşturduğu etik ve yasal zorluklar üzerine dördüncü çalışmasını yayınladı.
🇪🇺 Avrupa Parlamentosu, AB Yapay Zeka Tüzüğü (AI Act) için uygulama kılavuzunu güncelledi. Avrupa Parlamentosu'nun zaman çizelgesine göre, AI Act’in 2027'ye kadar tam olarak yürürlüğe girmesinden önce Avrupa Komisyonu tarafından birkaç temel belgenin oluşturulması gerekiyor. Bunlar arasında pratik uygulama yönergeleri, AI sistemleri için davranış kuralları ve Genel Amaçlı AI Uygulama Kuralları yer alıyor.
Ek bilgi: Avrupa Komisyonu, AI Act’in yüksek riskli yapay zeka sistemlerine ilişkin kurallarının uygulanması konusunda kamuoyu istişaresi başlattı.
🇳🇴 Norveç hükümeti, 15 yaş altı çocukların sosyal medya kullanımını yasaklamayı, veri işleme için rıza yaşını yükseltmeyi ve cep telefonlarını okullardan kaldırmaya yönelik bir yasa tasarısı hazırlıyor.
🇵🇭 Filipinler veri koruma otoritesi, kolluk kuvvetlerinin vücuduna takılan kameralar kullanılarak toplanan kişisel verilerin işlenmesine dair yönergeler yayınladı.
🇺🇸 Vermont eyalet valisi, çocukları çevrimiçi ortamda daha güvenli hale getirmeyi amaçlayan Yaşa Uygun Tasarım Kodu Yasası'nı imzaladı. Yasa, teknoloji şirketlerinin çocukların verilerini satmasını yasaklama, yetişkinlerin açık rızaları olmadan çocuklara mesaj gönderilmesini engelleme ve varsayılan olarak anlık bildirimleri devre dışı bırakma gibi yükümlülükler içeriyor.
🇸🇬 Singapur veri koruma otoritesi, kişisel verilerin anonimleştirilmesi hakkında yeni yönergeler yayınladı.
Veri İhlali Gündemi
🚨 Kişisel Verileri Koruma Kurumu, Tiffany & Co.'nun bağlı şirketi TCO Turkey Mücevherat Ticareti Limited Şirketi'nin KVKK veri ihlali bildirimi yayınladı. Kurula iletilen ihlal bildiriminde özetle;
İhlalin veri sorumlusunun ABD merkezli bağlı şirketi Tiffany and Company şirketinin bazı sistemlerine yetkisiz bir üçüncü tarafça erişim sağlanmasıyla gerçekleştiği,
İhlalin 12.05.2025-16.05.2025 tarihleri arasında gerçekleştiği ve 04.06.2025 tarihinde tespit edildiği,
İhlalden etkilenen ilgili kişi gruplarının veri sorumlusu çalışanları ve müşterileri olduğu,
İhlalden etkilenen kişi ve kayıt sayısının belirlenmesi için veri sorumlusu tarafından çalışmaların sürdürüldüğü,
İhlalden etkilenen kişisel verilerin ad, iletişim bilgileri, unvan, yönetici bilgileri, kullanıcı adları ve karma şifreler dahil olmak üzere çalışan ve danışman şirket dizini verilerini içerdiğinin belirlendiği, ayrıca devam eden soruşturmaya dayanılarak; etkilenen kişisel verilerin müşteri adları, iletişim bilgileri, yaş, satış verileri ve cinsiyet bilgilerini de içerme ihtimalinin bulunduğu belirtildi.
🇺🇸 Wired'ın haberine göre, birkaç büyük ABD havayolu şirketinin tüketicilerin uçuş verilerini ABD İç Güvenlik Bakanlığı'na sattığı iddia edildi.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru, öneri ve talepleriniz için merhaba@privacyturkey.com adresimizden bize yazabilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Instagram |📍 YouTube 📍 Twitter