Veri Koruma & Mahremiyet Gündemi #168
🔴 Avukatların sağlık verilerine erişimine dair Danıştay kararı, 🚨 Üç yeni KVKK veri ihlal bildirimi, 📸 Herkese açık Instagram paylaşımı ile TCKN içeren belge yayımına ilişkin Yargıtay kararları
Selamlar, her Pazartesi Türkiye’den ve dünyadan veri koruma alanında yaşanan gelişmeleri yaptırımlar, regülasyon ve veri ihlalleri gibi ana başlıklar altında aktarıyoruz. Haftalık e-posta bültenine linkten abone olabilirsiniz. İletişim için merhaba@privacyturkey.com adresinden bize ulaşabilirsiniz.
İyi okumalar.
Haftanın Gelişmeleri
🔴 Danıştay, avukatların müvekkillerine air sağlık verilerine erişimine dair vekalette açık rıza şartı getiren Kişisel Sağlık Verileri Hakkında Yönetmelik hükmünün iptal talebini reddetti. Danıştay 10. Dairesi, dava konusu düzenlemeyi kişisel sağlık verilerinin korunmasına ilişkin özel mevzuat kapsamında değerlendirdi ve KVKK'nın bu alanı düzenleyen özel kanun olduğu ve bu verilerin işlenebilmesi için kural olarak ilgililerin açık rızasının aranılacağı sonucuna vardı.
📚 Kişisel Verileri Koruma Kurumu, 'Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu'nu güncelledi. Bilgi notunda, hem Türk hukuku hem AB hukuku kapsamında değerlendirmeler ile çeşitli örnekler yer alıyor. Örneğin, İş Kanunu'nun 75. maddesi gereğince, işverenin çalıştırdığı her işçi için bir özlük dosyası düzenleme zorunluluğu dayanak gösterilerek, işverenin işçinin kimlik verilerini "kanunlarda açıkça öngörülmesi" işleme şartına dayanarak işleyebileceği ifade ediliyor.
🔍 Merkezi Kayıt Kuruluşu A.Ş. (MKK) beklenen Kripto Varlık Merkezi Kayıt Sistemi'ni devreye aldı. Yeni sisteme göre; kripto varlık alım-satım, ilk satış ya da dağıtım, takas, transfer ve bunların gerektirdiği saklama ve diğer işlemler ile platformların müşteri bakiyeleri ve saklama bakiye bilgileri MKK tarafından oluşturulacak Kripto Varlık Merkezi Kayıt Sistemi’ne (KVMKS) Kripto Varlık Hizmet Sağlayıcılar (KVHS) tarafından raporlanacak.
🇫🇷 Fransa veri koruma otoritesi, GDPR’ın siber güvenlik üzerindeki ekonomik etkisini inceleyen bir rapor yayınladı.
🇧🇷 Brezilya, vatandaşlarına dijital ayak izleri üzerindeki mülkiyet hakkını tanıyan ve bu verilerden gelir elde etmelerini sağlayan "dWallet" pilot uygulamasını başlattı. Kamu ve özel sektör iş birliğiyle yürütülen bu proje, veriyi bir "tasarruf hesabı" gibi kullanarak bireylere maddi kazanç sunuyor.
🇮🇪 İrlanda veri koruma otoritesinin geçtiğimiz ay TikTok’a kestiği yurt dışı veri aktarımına ilişkin 530 milyon euro’luk para cezasına itirazı inceleyen yüksek mahkeme, TikTok’un AB’den Çin’e veri transferini durdurmasına ilişkin talimat bakımından Ekim ayına kadar bir erteleme kararı verdi. Talimatın geçerli kalması ve davanın tamamı görülene kadar TikTok'un erteleme almaması durumunda milyarlarca euro zararla karşı karşıya kalacağı iddia edildi.
🇺🇸 ABD Dördüncü Daire Temyiz Mahkemesi, otelcilik devi Marriott International'ın 2018 yılında yaşadığı veri ihlali sonrası kişisel verileri ihlale uğrayan tüketicilerin şirkete karşı toplu dava açmasına izin veren bir mahkeme kararını bozdu.
🇪🇺 Avrupa tüketici örgütü BEUC, Çinli e-ticaret şirketi Shein'ı dark patterns kullandığı iddiasıyla Avrupa Komisyonu'na şikayet etti. BEUC, yayınladığı bir raporda, müşterileri uygulamadan çıkmamaları ve promosyonları kaybetme riskine girmemeleri konusunda uyaran açılır pencereler, bir satın alma işlemini tamamlamak için zaman baskısı yaratan geri sayım sayaçları ve uygulamada sonsuz kaydırma özelliğinin Shein'in kullandığı yöntemler arasında olduğunu belirtti. Ayrıca sık bildirimler gönderdiğini, bir telefonun tek bir günde uygulamadan 12 bildirim aldığını açıkladı.
🤖 Meta, mahremiyet ve toplumsal riskleri değerlendirmek için artık insanlar yerine yapay zekayı kullanmayı planlıyor. NPR'nin elde ettiği şirket içi belgelere göre, yakında tüm risk değerlendirmelerinin %90'a kadarı otomatikleştiriliyor.
🇪🇺 Apple, Avrupa Komisyonu'nun Dijital Piyasalar Yasası (DMA) kapsamında üçüncü tarafların platformuna başka ürünler geliştirmesine ve bağlamasına izin verecek şekilde birlikte çalışabilirlik emri veren kararına itiraz etti. Şirket, emrin kullanıcıların gizliliğini ihlal edeceğini, çünkü bu emrin kullanıcıların verilerini diğer şirketlere devretmek anlamına geleceğini savunuyor. Bu arada Meta, DMA kapsamında Messenger ve Marketplace'in Komisyon tarafından sınıflandırılmasına itiraz ediyor.
💡 George Washington Üniversitesi Hukuk Profesörü Daniel Solove, 1960'lardan itibaren yayımlanan en etkili gizlilik kitaplarını ele alan bir makale yazdı. Makalede 400’den fazla kitap inceleniyor.
⚖️ Haber kuruluşlarının şirketi delilleri yok etmekle suçlamasının ardından, OpenAI silinen sohbetler de dahil olmak üzere tüm ChatGPT kullanıcı günlüklerini saklamaya yönelik New York Güney Bölgesi ABD Bölge Mahkemesi’nin emrine karşı çıkıyor. OpenAI, mahkemenin emri aceleye getirdiğini ve sadece The New York Times ve diğer haber davacılarının ortaya attığı bir iddiaya dayanarak bu kararı verdiğini ileri sürüyor.
Yaptırımlar & Kararlar
📸 Yargıtay, herkese açık bir Instagram profilinde paylaşılan fotoğrafı ilgili kişinin rızası dışında yeniden paylaşan kişiyi suçlu buldu. Karara konu olaydaki sanık, bir grup kişinin Instagram hesaplarından herkese açık paylaştığı fotoğrafları alarak, kişilerin rızası dışında kendi açtığı bir Instagram hesabında yayınlıyor ve hakkında verileri hukuka aykırı olarak ele geçirme suçundan mahkumiyet kararı veriliyor. Yargıtay, kamuya açık bir alanda çekilmiş fotoğrafların Instagram’da herkese açık şekilde paylaşılmasının, bu fotoğrafların kişisel veri olma özelliğini ortadan kaldırmayacağını ve üçüncü kişilere bu fotoğrafları ilgili kişilerin rızası dışında paylaşma hakkı tanımayacağını belirtiliyor.
👨👨👧👦 Çocuğa ait özel fotoğrafların Instagram’da izinsiz paylaşılması üzerine, eski eş aleyhine 25.000 TL manevi tazminata hükmedildi. Davalının kendi çocuğuyla birlikte eşinin önceki evliliğinden olan çocuğa ait bazı fotoğrafları sosyal medya hesabında paylaşması eyleminin haksız fiil olduğu ve davacının kişilik haklarına hukuka aykırı şekilde saldırı gerçekleştiği belirtildi.
🇬🇷 Yunanistan veri koruma otoritesi, Çin menşeli yapay zeka uygulaması DeepSeek hakkında, AB’de – özellikle de Yunanistan’da – verdiği hizmetler nedeniyle re’sen soruşturma başlattı ve GDPR md. 27 uyarınca DeepSeek’in AB’de bir temsilci atamasına hükmetti.
🔏 Yargıtay, hakkında idari para cezası düzenleyen görevliye ait kişisel verileri içeren tutanağı sosyal medyada paylaşan kişiyi suçlu buldu. Karara konu olaydaki sanık, idari para cezası tutanağının fotoğrafını, herhangi bir yorum eklemeden kendi Facebook hesabında paylaşıyor. Bu paylaşımda, ilgili görevlinin soyadı, meslek sicili ve imzası da yer alıyor. Açılan kamu davasında sanık hakkında kişisel verileri hukuka aykırı olarak ele geçirme veya yayma suçundan mahkumiyet kararı veriliyor. Yargıtay, görevliye ait kişisel veri niteliğinde olan bilgilerin gizlenmeden olduğu gibi paylaşıldığını belirtiyor.
🇩🇪 Almanya’nın federal veri koruma otoritesi, çevrimiçi kimlik doğrulama sürecinde yetersiz veri güvenliği tedbirleri ve bir üçüncü taraf hizmetini uygun şekilde incelememiş olması nedenleriyle Vodafone'a toplam 45 milyon euro para cezası verdi.
📍 Fransız mahkemesi, habersiz açılan bir işletme profili (Google My Business) nedeniyle Google’a 50.000 euro ceza vererek, yorumların ve profilin silinmesine hükmetti. Kararın arka planında, bir diş hekimi, kendisine ait bilgilerin Google My Business platformunda yer aldığını fark ediyor. Bu sayfada, kendisine ait bazı kişisel verilerle birlikte mesleki faaliyetlerine dair yorumlar ve puanlamalar yer alıyor. Bunun üzerine, yorumların silinmesini ve bu yorum yapma özelliğinin tamamen kaldırılmasını taleplerini Google karşılamıyor.
🇸🇯 Finlandiya veri koruma otoritesi, çevrimiçi platformlarında çerez ve izleme teknolojileri kullanan ve elde edilen verilerin üçüncü taraflara sızdırılmasına neden olan University Pharmacy'e 1,1 milyon euro para cezası verdi. Diğer eczanelerdeki benzer sorunların da araştırdığı açıklandı.
🇫🇷 Fransa veri koruma otoritesi, veri aracılarından satın alınan kişisel verileri yasal bir dayanak olmaksızın işleyen bir pazarlama şirketine 80.000 euro para cezası verdi.
🇪🇸 İspanya veri koruma otoritesi, veri ihlali öncesi ve sonrasında veri güvenliği yükümlülüklerini ihlal ettiği için AIRE NETWORKS adlı bir telekomünikasyon şirketine 60.000 euro para cezası verdi. İhlal sırasında, bir veri sahibinin arama yapamadığı ve internete bağlanamadığı için hesabından üç yetkisiz banka havalesi gerçekleştiği belirtildi.
🇮🇹 İtalya veri koruma otoritesi, doğrudan pazarlama amacıyla kişisel verileri hukuka aykırı olarak işlediği ve bir erişim talebine yeterli yanıt vermediği gerekçesiyle bir emlak acentesine 40.000 euro para cezası verdi.
Regülasyon Gündemi
🇪🇺 Avrupa Veri Koruma Kurulu (EDPB), üçüncü ülke makamlarına veri aktarımı ile ilgili yönergelerin son versiyonunu kabul etti. EDPB ayrıca, Destek Uzman Havuzu (SPE) kapsamında iki ayrı rapor hazırladı. İlki olan "Kişisel Verilerle Güvenli Yapay Zeka Sistemlerinin Temelleri" raporu, mevcut yapay zeka ihtiyaçlarını ve boşlukları ele alırken; "Yapay Zeka Güvenliği ve Veri Korumasında Hukuk ve Uyumluluk" başlıklı ikinci rapor, veri koruma görevlilerine yönelik bir eğitim programı sunuyor.
🇺🇸 Kaliforniya Senatosu, Yapay Zeka Şeffaflık Yasası’nı kabul etti. Hesap verebilirlik ve bireyleri yapay zeka sistemlerinin olumsuz etkilerinden korumayı amaçlayan mevzuat; yüksek riskli otomatik karar sistemlerinin geliştiricileri ve dağıtımcılarının etki değerlendirmeleri yapmalarını ve algoritmik ayrımcılığı azaltmak için yönetim programları uygulamalarını zorunlu kılıyor.
🇯🇵 Japonya Parlamentosu, yapay zeka gelişimini destekleyen ve potansiyel risklerini ele alan bir yasayı onayladı. Yasa; yapay zeka araçları tarafından üretilen yanlış ve hatalı bilgilerin yayılmasıyla mücadele, kişisel veriler ve telif hakkı ihlalleri gibi başlıklara odaklanıyor. Teknolojik gelişmeyi engellememek için ceza hükümleri içermiyor. Bunun yerine ceza kanunu ve telif hakkı yasası gibi mevcut yasaların uygulanacağı belirtiliyor.
🇦🇺 Avustralya’da, fidye yazılımı ödemelerine dair yeni kurallar devreye girdi. Kuruluşların bir siber saldırıdan sonra bir fidye yazılımı grubuna ödeme yapmaları durumunda yetkili otoriteye detaylı bilgi vermeleri gerekiyor.
🇺🇸 Florida’da, sosyal medya platformlarının "bağımlılık yaratan" tasarımlarına karşı getirilen ve 14 yaş altı çocukların hesap açmasını yasaklayan; 14-15 yaşındakiler için ise ebeveyn onayı şartı öngören yasanın yürürlüğü, ifade özgürlüğünü ihlal ettiği gerekçesiyle mahkeme kararıyla durduruldu.
🇬🇧 İngiltere Ulusal Siber Güvenlik Merkezi, başarılı siber güvenlik programları oluşturmaya yönelik kurumsal kültürün oluşmasını amaçlayan "Siber Güvenlik Kültürü İlkeleri" adlı bir rehber yayınladı.
🇺🇸 Teksas Yasama Meclisi, Sorumlu Yapay Zeka Yönetimi Yasası’nı kabul etti. Yapay zekanın ticari ve kamusal ortamlarda nasıl kullanılabileceğine dair gereklilikler getiren yasa, vali tarafından imzalanırsa 1 Ocak 2026'da yürürlüğe girecek.
🇩🇪 Almanya Federal Bilgi Güvenliği Ofisi (BSI), finans sektöründeki yapay zeka sistemleri için BT güvenliği, veri kalitesi, model sağlamlığı, yönetişim, insan denetimi ve performans kriterlerini belirleyen bir test kataloğu yayınladı.
Veri İhlali Gündemi
🚨 Kişisel Verileri Koruma Kurumu, üç yeni KVKK veri ihlali bildirimi yayınladı.
📌 İstanbul Gedik Üniversitesi tarafından Kurula iletilen ihlal bildiriminde özetle;
İhlalin, veri sorumlusu adına veri işleyen şirketin sistemlerine yetkisiz erişim gerçekleştirilmesi neticesinde gerçekleştiği,
İhlalin 13.05.2025-14.05.2025 tarihleri arasında gerçekleştiği ve 14.05.2025 tarihinde tespit edildiği,
İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, kullanıcılar ve öğrenciler olduğu,
İhlalden etkilenen ilgili kişi sayısının 23.269, kayıt sayısının ise 209.421 olduğu,
İhlalden etkilenen kişisel verilerin; ad, soyadı, kullanıcı adı, maskelenmiş ve yalnızca son dört hanesi görünür biçimde T.C. kimlik numarası, e-posta adresi, kurum-departman bilgileri ve kullanıcının trafik verileri olduğu belirtildi.
📌 Richemont İstanbul Lüks Eşya Dağıtım Anonim Şirketi tarafından Kurula iletilen ihlal bildiriminde özetle;
İhlalin 17.01.2025-18.01.2025 tarihleri arasında gerçekleştiği ve 30.05.2025 tarihinde tespit edildiği,
Veri sorumlusunun da dahil olduğu Richemont Group bünyesinde görev yapan bir çalışanın hesabının yetkisiz kişi/kişilerce elde edilmesi ve bu hesap kullanılarak veri sorumlusunun müşterilerine ait kişisel verilerin ele geçirilmesi neticesinde ihlalin gerçekleştiği,
İhlalden etkilenen ilgili kişi grubunun müşteriler/potansiyel müşteriler olduğu,
İhlalden etkilenen ilgili kişi sayısının 25.737 olduğu,
İhlalden etkilenen kişisel verilerin; isim, e-posta adresi, ülke bilgisi, müşteri kimliği ve doğum tarihi olduğu belirtildi.
📌 Manulaş Manisa Ulaşım Hizmetleri Makina Sanayi ve Ticaret A.Ş. tarafından Kurula iletilen ihlal bildiriminde özetle;
Veri sorumlusu sistemlerine gerçekleştirilen siber saldırı (fidye yazılımı saldırısı) neticesinde ihlalin meydana geldiği,
İhlalin 25.05.2025 tarihinde gerçekleştiği ve aynı gün tespit edildiği,
Siber saldırı neticesinde verilerin dışarıya aktarılıp aktarılmadığının henüz tespit edilemediği,
İhlalden etkilenen ilgili kişi gruplarının; aboneler/üyeler olduğu,
Veri ihlalinden etkilenen kişi/kayıt sayısının 1.268.222 olduğu ancak sistem içerisinde çok sayıda mükerrer kayıt bulunması sebebiyle ihlalden etkilenen gerçek kişi sayısının muhtemelen çok daha az olduğu,
İhlalden etkilenen kişisel verilerin; ad, soyadı, T.C. kimlik numarası, doğum tarihi, cinsiyet, telefon numarası, e-posta adresi, açık adres, meslek bilgisi (öğretmen/ polis/öğrenci vb.), plaka no, fotoğraf ve sağlık bilgileri (engellilik bilgisi, engellilik oranı) olduğu belirtildi.
📝 Microsoft, CrowdStrike, Palo Alto ve Google, hacker grubu adlarını açıklığa kavuşturmayı amaçlayan bir sözlük oluşturacaklarını duyurdu. Reuters’in haberine göre bu girişim, siber saldırıların kurbanlarına belirli hacker'lar hakkında bilgi sağlamak ve hangi grupların potansiyel olarak sorumlu olduğunu belirlemek için çalışacak.
🛡️ ABD'li yayıncılık firması Lee Enterprises, siber saldırı sonucunda sosyal güvenlik numaraları da dahil olmak üzere 39.779 çalışanına ait kişisel verilerin ele geçirildiğini duyurdu.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru, öneri ve talepleriniz için merhaba@privacyturkey.com adresimizden bize yazabilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Instagram |📍 YouTube 📍 Twitter