Veri Koruma & Mahremiyet Gündemi #144
⚖️ Reklam Kurulu'ndan hukuk alanında reklam veren firmalara yaptırım, 🛎️ Anayasa Mahkemesi'nden özlük verilerine erişim kararı, 🇮🇪 Meta'ya 251 milyon Euro ceza,💸 ChatGPT ve Netflix'e para cezaları
Selamlar, veri koruma ajandamız bu hafta yine oldukça yoğun.
Her Pazartesi Türkiye’den ve dünyadan veri koruma alanında yaşananları; gelişmeler, yaptırım, regülasyon ve veri ihlalleri başlıkları altında aktarıyoruz. Bültene buradan abone olabilir merak ettiğiniz sorular hakkında merhaba@privacyturkey.com adresinden bizimle iletişime geçebilirsiniz.
Keyifli okumalar.
Haftanın Gelişmeleri
🎬 KVKK standart sözleşme uygulaması üzerine geçtiğimiz hafta Veri Koruma Derneği ile birlikte gerçekleştirdiğimiz etkinlik tam anlamıyla dolu dolu ve bir o kadar da keyifli geçti. Çok değerli konuşmacılarımız, Doç. Dr. Nafiye Yucedag, Av. Bora Yazıcıoğlu ve Av. Selen Ibrahimoglu Gures bizleri uygulama ışığında aydınlatırken, 400'ün üstünde katılımcımızdan gelen soru ve yorumlar ise etkinliğimize renk kattı. Ekibimizden Av. Arif Candemir’in moderatör olduğu webinar kaydını YouTube hesabımızdan takip edebilirsiniz. Şu an planlamaya başladığımız bir sonraki etkinliği ise çok yakında duyuracağız.
🗓️ Veri Koruma Derneği, Koç Üniversitesi Hukuk Fakültesi ev sahipliğinde gerçekleştirdiği aylık Platform toplantısının 27 Aralık tarihinde 10.00-13.30 saatleri arasında düzenleneceğini duyurdu. Toplantının ana konusunun “Kişiselleştirilmiş Pazarlama” olacağı belirtildi.
🇪🇺 Yapay zeka konusunda yasal olarak bağlayıcı ilk uluslararası anlaşma niteliğindeki ''Yapay Zeka ve İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Çerçeve Sözleşmesi''nin Türkçe broşürü yayımlandı. 5 Eylül 2024 tarihinde imzaya açılan Avrupa Konseyi’nin Çerçeve Sözleşmesi’nin en az üç Avrupa Konseyi üye devleti de dahil olmak üzere beş imzacının onayladığı tarihten itibaren üç aylık sürenin sona ermesini izleyen ayın ilk günü yürürlüğe girmesi bekleniyor.
🧠 Galatasaray Üniversitesi Hukuk Fakültesi Bilişim ve Teknoloji Hukuku Anabilim Dalı Öğretim Üyesi Dr. Osman Gazi Güçlütürk, yapay zekanın farklı dillerde farklı cevaplar vermesinin altında yatan sebepleri AA Analiz için kaleme aldı.
🔔 Kişisel Verileri Koruma Kurumu, yurt dışı veri aktarımı ve özel nitelikli kişisel verilere dair KVKK değişikliklerine istinaden ''Kabahatlerin Zaman Bakımından Uygulanması Bilgi Notu'' yayımladı. Kanunda yapılan değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girmişti. Kişisel verilerin yurt dışına aktarılmasına ilişkin, Kanun'un 9. maddesi kapsamındaki açık rıza şartı, 1 Eylül 2024 tarihine kadar muhafaza edilmişti. Bilgi notu, Kanunun zaman bakımından uygulanması bağlamında soru işaretlerine açıklık getiriyor. Bilgi notunda ayrıca, zaman bakımından uygulanmaya yönelik tablo yer alıyor.
🇹🇷 Tüketicinin Korunması Hakkında Kanun kapsamında 2025 yılı idari para cezaları yayımlandı. Buna göre Reklam Kurulu, ticari reklam ve gerçekleştirilen haksız ticari uygulamalar hakkında yer aldığı mecraya göre yaklaşık 90 bin lira ile 32 milyon lira arasında idari para cezası uygulanabilecek.
🇪🇸 İspanya veri koruma otoritesi, OpenAI CEO'su Sam Altman'ın şirketi olan Worldcoin'in, birçok ülkede gizlilik endişelerine yol açan projesinde toplanan tüm göz tarama tarama verilerinin silinmesi gerektiğini duyurdu.
📚 Kişisel Verileri Koruma Dergisi’nin yeni sayısı yayımlandı. Kişisel verilerin korunması, mahremiyet, veri koruma hukuku ve kişisel verilerin güvenliği ile ilgili araştırma ve derleme makalelerin yer aldığı derginin on ikinci sayısında beş adet makale yer alıyor.
🇪🇺 Avrupa Komisyonu, TikTok'un seçim bütünlüğüne yönelik sistemik riskleri değerlendirme ve hafifletme yükümlülüğünü ihlal ettiği şüphesiyle Dijital Hizmetler Yasası (DSA) kapsamında resmi bir soruşturma başlattığını duyurdu. Duyuruya göre inceleme, TikTok’un kullanıcılara kişiselleştirilmiş içerikler önerilmesini sağlayan öneri algoritmaları ile siyasi reklamlar ve ücretli siyasi içerikle ilgili politikaları üzerine yoğunlaşacak.
🌍 Dünya Ekonomik Forumu, çevrelerini algılayabilen, öğrenebilen ve bu çevreye etki edebilen otonom yapay zeka ajanlarının potansiyel etkilerini inceleyen bir ‘White Paper’ yayımladı. Raporda, basit kural tabanlı sistemlerden karmaşık karar alma yeteneklerine sahip yapılar haline gelen yapay zeka ajanlarının evrimi ele alınıyor.
🇺🇸 Reuters haberine göre, TikTok ve ana şirketi ByteDance, ABD Yüksek Mahkemesi'ne acil başvuruda bulunarak, sosyal medya platformunun 19 Ocak 2025’ten itibaren yasaklanmasını öngören federal yasanın durdurulmasını talep etti. ABD Adalet Bakanlığı, TikTok’un Çin merkezli bir şirket olarak Amerikan kullanıcılarının verilerine erişimi ve içerik manipülasyonu kapasitesi nedeniyle ulusal güvenlik tehdidi oluşturduğunu savunarak ilgili kararı almıştı. TiktTok bu karara ifade özgürlüğünü İhlal etmesi nedeniyle itiraz etmiş ancak, ABD Columbia Bölgesi Temyiz Mahkemesi itirazları reddetmişti.
🇧🇷 Brezilya veri koruma otoritesi, Genel Veri Koruma Yasası (LGPD) gereği veri koruma görevlilerinin (DPO) iletişim bilgilerini yayınlamadığı iddia edilen 20 işletmeye yönelik inceleme başlattığını duyurdu.
Yaptırımlar & Kararlar
🛎️ Anayasa Mahkemesi yeni bir kararında, özlük dosyasındaki bilgilere erişim talebi reddedilen memurun, kişisel verilerin korunmasını isteme hakkının ihlal edildiğine hükmetti. Somut olayda başvurucunun özlük dosyasındaki sicil ve değerlendirme notlarına yönelik erişim talebinin başvurucunun bizzat kendisi hakkındaki kisisel verilere erişimi kapsamında olduğu ve Anayasa'da özel olarak düzenlendiği ve ilgili kişi haklarını düzenleyen KVKK md. 11 ile de bağlantılı olduğu ifade ediliyor.
⚖️ T.C. Ticaret Bakanlığı'na bağlı Reklam Kurulu, bilişim ve tazminat hukuku gibi yalnızca avukatların yapabileceği işlere ilişkin tanıtımlar yayınlayan üç danışmanlık firmasına para cezası, reklam durdurma ve erişimin engellemesi gibi çeşitli yaptırımlar uyguladı. Reklam Kurulu tarafından yapılan incelemeler sonucunda özetle, Avukatlık Kanunu’nun "Yalnız Avukatların Yapabileceği İşler" başlıklı 35. maddesi ele alındı. İnceleme konusu tanıtımlar vasıtasıyla hukuki ihtilaflarda mütalaa vermek, dava etmek ve savunmak, adli işlemleri takip etmek, bu işlere ait evrakı düzenlemek gibi sadece baroda yazılı avukatların yetkisinde olan faaliyetlerin yetkisiz kişilerce yürütüldüğüne dair tanıtımların ortalama tüketici nezdinde yanıltıcı ve aldatıcı nitelik arz ettiği değerlendirildi.
🇮🇪 İrlanda veri koruma otoritesi, Facebook'ta yaşanan güvenlik ihlali nedeniyle ana şirketi Meta'ya 251 milyon Euro para cezası verdi. Temmuz 2017'de Facebook platformunda yeni bir video yükleme işlevinin devreye alınmasından sonra, kullanıcıların kendi profillerinin başkaları tarafından nasıl göründüğünü görmelerini sağlayan "Başkalarının Gözünden Gör" özelliğini etkileyen bir #güvenlik açığı üzerine veri ihlalinin gerçekleştiği belirtiliyor.
Ek bilgi: GDPR'ın 2018'de yürürlüğe girdiğinden bu yana, Meta'ya yaklaşık 3 milyar Euro para cezası kesildi. İrlanda’nın 2023 yılında Meta’ya verdiği 1,2 milyar Euro ceza ise rekoru elinde tutuyor. İrlanda, henüz iki ay önce yine Facebook'un ana şirketi Meta'ya şifre saklama süreçleri nedeniyle 91 milyon Euro para cezası vermişti. Bu son karar ise en yüksek GDPR cezaları listemize 9. sıradan giriş yaptı.
🇮🇹 İtalya veri koruma otoritesi, popüler yapay zeka sohbet robotu ChatGPT'nin sahibi OpenAI'a 15 milyon Euro para cezası verdi. 2023’te başlayan soruşturma sonucunda OpenAI'ın, "yeterli yasal dayanağa sahip olmadan ChatGPT'yi eğitmek amacıyla kullanıcıların kişisel verilerini işlediği ve şeffaflık ilkesi ile kullanıcılara yönelik bilgilendirme yükümlülüklerini ihlal ettiği" tespit edildi. Ayrıca ABD merkezli şirketin, 13 yaş altındaki çocukların #yapayzeka tarafından üretilen uygunsuz içeriklere maruz kalmasını önleyecek yeterli bir yaş doğrulama sistemine sahip olmadığı sonucuna varıldı.
🇦🇺 Avustralya veri koruma otoritesi, Meta’nın, Cambridge Analytica skandalından etkilenen Avustralyalı Facebook kullanıcılarına yönelik 50 milyon Dolar tutarında ödeme programını kapsayan bir bağlayıcı taahhüt üzerinde anlaştığını duyurdu. Ödeme programı, genel endişe veya utanç duyanlara temel bir ödeme, somut zarar görenlere ise daha yüksek bir ödeme sağlamak üzere iki kategoride düzenlenecek. Başvuruların 2025’in ikinci çeyreğinde başlaması bekleniyor.
🇳🇱 Hollanda veri koruma otoritesi, Avusturyalı gizlilik gurubu NOYB'nin şikayetleri üzerine başlatılan inceleme sonucu 2018-2020 yılları arasında müşterilere kişisel verilerinin işlenmesine dair yeterli bilgi sağlamadığı gerekçesiyle Netflix’e 4,75 milyon Euro para cezası verdi. Kararda Netflix’in kişisel veri toplama ve üçüncü taraflarla paylaşım için hukuki dayanaklarını net bir şekilde açıklamadığı ve müşterilere veri saklama süresi gibi önemli konularda yeterli bilgi sunmadığı görülüyor. Netflix cezaya itiraz ettiğini açıkladı.
🇩🇪 Almanya’daki bir mahkeme, bir hava sporları derneği başkanının, çalışan statüsündeki bir kişinin sağlık durumuna ilişkin bilgileri yaklaşık 10.000 dernek üyesine izinsiz şekilde paylaşması nedeniyle 10.000 Euro manevi tazminat ödemesine karar verdi. Kararda, kişisel verilerin geniş bir kitleyle paylaşılmasının, veri sahibinin günlük ve iş yaşamını etkileyerek GDPR kapsamında tazminat gerektirdiği vurgulanıyor.
🇩🇪 Münih Yüksek Bölge Mahkemesi ise bir kredi derecelendirme ajansının, bir vatandaşa ait yaklaşık 400 Euro’luk geç ödeme bilgisi içeren kaydı saklama hakkının ilgili kişi çıkarlarından üstün olduğundan bahisle silinme talebinin reddine hükmetti. Mahkeme, bu tür bilgilerin gelecekteki risk değerlendirmeleri için uygun olduğunu belirtti.
🇷🇴 Romanya Veri Koruma Otoritesi, Cluj-Napoca isimli toplu taşıma şirketine, otobüs şoför kabinlerinde yer alan sesli gözetim kameraları aracılığıyla çalışanların ve yolcuların verilerinin gereksiz ve aşırı şekilde işlenmesi nedeniyle 4.006 Euro para cezası verdi.
🇸🇪 İsveç Veri Koruma Otoritesi , Malmö’de bir apartman binasının ortak alanlarında izinsiz kamera gözetimi yapılması ve bilgi taleplerine yanıt verilmemesi nedeniyle bina sahibine 17.366 Euro para cezası verdi. Özellikle, giriş ve merdiven boşluklarındaki kamera gözetiminin bireylerin mahremiyet haklarını ihlal ettiği, ancak garajdaki gözetimin meşru çıkarlar kapsamında olduğu belirtildi.
🇨🇾 Güney Kıbrıs veri koruma otoritesi, lokal arama platformu nicelocal.com platformuna, kişisel veri silme taleplerine yanıt vermekte gecikmesi ve Denetim Otoritesine bilgi sağlama yükümlülüğünü yerine getirmemesi nedeniyle 3.000 Euro para cezası verdi.
Regülasyon Gündemi
🇪🇺 Avrupa Veri Koruma Kurulu EDPB, yapay zeka modellerinin geliştirilmesi ve dağıtımı için kişisel verilerin yasal kullanımıyla ilgili görüş yayınladı. Görüşte, AI modellerinin ne zaman ve nasıl anonim olarak kabul edilebileceği; meşru menfaatin AI modellerini geliştirmek veya kullanmak için yasal bir temel olarak kullanılıp kullanılamayacağı ve nasıl kullanılabileceği ve kişisel veriler kullanılarak hukuka aykırı bir şekilde işlenen bir AI modeli geliştirilirse ne olacağı konularını ele alıyor. Görüş, Avrupa çapında düzenleyici uyum sağlama arayışı amacıyla İrlanda DPA tarafından talep edilmişti.
📜 Avrupa Yapay Zeka Ofisi, 14 Kasım'da yayınlanan ilk taslağına ilişkin alınan geri bildirimleri içeren Genel Amaçlı AI Uygulama Kodu'nun ikinci taslağını yayımladı.
🇬🇧 Birleşik Krallık İletişim ve Rekabet Otoritesi Ofcom, uzun zamandır beklenen Çevrimiçi Güvenlik Yasası (OSA) kapsamında yasa dışı zararlarla ilgili uygulama kodlarını (Codes) yayımladı. Davranış kuralları, yasa kapsamındaki sağlayıcıların terör, nefret, dolandırıcılık, çocuk istismarı ve intihara teşvik gibi yasa dışı zararlar ile bu zararların ele alması için alması gereken adımları belirliyor. Davranış kuralları, çevrimiçi servis sağlayıcının risk profiline göre düzenlenmiş 40'tan fazla güvenlik önlemi içeriyor. Örneğin, yüksek riskli sağlayıcıların çocuk istismarı materyallerini (CSAM) tespit etmek için otomatik URL algılama ve hash eşleştirme araçları kullanması bekleniyor. Buna göre yasa kapsamındaki sağlayıcılar 16 Mart 2025’e kadar yasa dışı zararlar risk değerlendirmesi yapmakla ve yasaya uyumlu hale gelmekle yükümlü olacak.
🇺🇸 ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Siber Olay Müdahale Planı (NCIRP) taslağını kamu yorumuna sunduğunu duyurdu. Siber operasyonlar ve politikadaki önemli değişikliklere uyum sağlamak için güncellenen taslak planda, özel sektör ve kamu sektörü iş birliğini kolaylaştıracak yeni koordinasyon mekanizmaları, operasyonel yaşam döngüsüne uygun düzenlemeler, yasal değişiklikler ve düzenli güncelleme döngüsü gibi önemli yenilikler bulunuyor.
Veri İhlali Gündemi
🚨 Kişisel Verileri Koruma Kurumu, Karadeniz Holding A.Ş.’nin KVKK veri ihlali bildirimini yayınladı. Kişisel veri ihlali bildiriminde özetle;
İhlalin bir siber saldırı nedeniyle gerçekleştiğinin düşünüldüğü, konuya ilişkin detaylı bilginin henüz tespit edilememesi nedeniyle çalışmaların ve araştırmaların devam ettiği,
İhlalin başlama ve sona erme tarihlerinin belirsiz olduğu ve ihlalin 10.12.2024 tarihinde tespit edildiği, ilgili tarihte yaşanan internet kesintisi sonrası gerçekleştirilen rutin güvenlik kontrolü neticesinde ihlalin tespit edildiği,
İhlalden etkilenen kişisel veri kategorilerine ilişkin olarak henüz bir tespit yapılamadığı,
İhlalden etkilenen kişi ve kayıt sayısının tespitine ilişkin çalışmaların devam ettiği ve henüz bir tespit yapılamadığı bilgilerine yer verildi.
🛡️ Texas Tech Üniversitesi Sağlık Bilimleri Merkezi, bir fidye yazılımı saldırısı sonucunda 1,46 milyon hastanın elektronik korunan sağlık bilgilerinin (ePHI) sızdırıldığını doğruladı. İhlale uğrayan veriler arasında adlar, adresler, doğum tarihleri, Sosyal Güvenlik numaraları, kimlik bilgileri, finansal hesap bilgileri ve sağlık kayıtları bulunuyor.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru, öneri ve talepleriniz için merhaba@privacyturkey.com adresimizden bize iletebilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Instagram |📍 YouTube 📍 Twitter