Veri Koruma & Mahremiyet Gündemi #159
🇫🇷 Fransa'dan Apple'a 150 milyon euro ceza, 🇮🇪 TikTok'a 500 milyon euro ceza bekleniyor, 🇪🇺 GDPR değişikliğine dair teklif planlanıyor, 🛒 E-Ticarette ürün güvenliği Yönetmeliği yürürlüğe girdi
Selamlar, KVKK’nın 7 Nisan 2016’da yürürlüğe girişinin 9. yıldönümü olan "7 Nisan Kişisel Verileri Koruma Günü" kutlu olsun.
Her Pazartesi Türkiye’den ve dünyadan veri koruma alanında yaşanan gelişmeleri yaptırımlar, regülasyon ve veri ihlalleri gibi ana başlıklar altında aktarıyoruz. Haftalık e-posta bültenine linkten abone olabilirsiniz. İletişim için merhaba@privacyturkey.com adresinden bize ulaşabilirsiniz.
İyi okumalar.
Haftanın Gelişmeleri
🏛️ Kişisel Verileri Koruma Kurumu'nun faaliyetlerini açıklayan Kurum Başkanı Prof. Dr. Faruk BİLİR, KVKK kapsamında bugüne kadar toplam 1 milyar 12 milyon 711 bin TL para cezası uygulandığı; Kuruma 1.986 standart sözleşme bildirildiği; 48.553 ihbar ve şikayet başvurusundan 46.812’sinin sonuçlandığını; 1.648 veri ihlali bildiriminin 359’unun Kurum websitesinde ilan edildiği; yurt dışına kişisel veri aktarımına yönelik 10 taahhütnameye onay verildiği ve Kurumun görev ve yetki alanına giren konularda 1230 hukuki görüş verildiği bilgisini paylaştı.
🇮🇪 İrlanda veri koruma otoritesi, bu ay sonuna kadar TikTok'a 500 milyon euro ceza vermeye hazırlanıyor. TikTok'nun AB vatandaşlarına ait verileri Çin'e aktarılmasıyla ilgili devam eden GDPR soruşturması sonunda taslak kararın verildiği ve diğer Avrupa veri koruma otoriteleriyle bir ay süren istişarenin tamamlandığı ve hiçbir itirazın gelmediği belirtilmişti.
🇪🇺 Avrupa Komisyonu'nun, "önümüzdeki haftalarda" GDPR değişikliklerine dair bir teklif sunmayı planladığı bildirildi. Reformun, küçük ve orta ölçekli işletmeler için raporlama gerekliliklerini kolaylaştırmaya odaklanması bekleniyor.
🧬 ABD’li genetik test şirketi 23andMe’nin, yaklaşık 7 milyon müşteriye ait verilerin ihlali sonrası iflas başvurusu yaptığını ve Avrupa DPA’larının konuya dair açıklamalarını bir önceki bültende aktarmıştık. Şirket, dünya çapında yaklaşık 15 milyon insana ait DNA bilgilerini içeren ve 250'den fazla bilimsel çalışmaya güç verdiği belirtilen geniş genetik veri tabanını açık artırmayla satmak için yasal izin aldı.
🇪🇺 Avrupa Komisyonu, yasa dışı içerik ve dezenformasyon suçlamasıyla X'e (Twitter) 1 milyar doların üzerinde ceza vermeye hazırlanıyor. The New York Times'ın, haberine göre 2023’te başlatılan soruşturma kapsamında X'e 1 milyar dolardan fazla para cezası verileceği ve ek olarak ürün değişikliği taleplerinin olacağı ileri sürüldü. Bu yaz sonuna kadar verileceği iddia edilen cezanın, DSA kapsamında Komisyonun ilk büyük yaptırımı olması bekleniyor.
🇬🇧 Birleşik Krallık veri koruma otoritesi ICO, finansal hizmetler kapsamında çocuklara ait verilerin kullanımına ilişkin bir inceleme yayınladı. Bulgular arasında, çocukların yaşları ilerledikçe gizlilik bilgilerinin yeniden gözden geçirilmesi ihtiyacı ile çocuklara ve yetişkinlere yönelik pazarlama arasında daha fazla ayrım yapılması yer alıyor.
🍪 Microsoft, reklam dönüşümlerini izleme ve kampanyaları optimize etme süreçlerine dair 5 Mayıs 2025'e kadar kullanıcı onay sinyallerini zorunlu kılacağını duyurdu. Onay Modu adı verilen bu özelliğin, Avrupa Ekonomik Alanı, Birleşik Krallık ve İsviçre'de yer alan kullanıcıların onay durumuna göre çerezleri ayarlayacağı belirtildi.
🇪🇺 Avrupa Veri Koruma Kurulu, bilimsel araştırma bağlamında kişisel verilerin ikincil kullanımına ilişkin veri koruma uygulamalarını ayrıntılarıyla değerlendiren bir çalışma yayınladı.
🇫🇷 Fransa veri koruma otoritesi CNIL, çok faktörlü kimlik doğrulamanın nasıl kullanılacağına dair öneriler yayınladı.
🇺🇸 New York Güney Bölgesi, The New York Times'ın eserlerinin yapay zeka modelinin eğitimi için kullandığını iddiasıyla OpenAI'a karşı açılan telif hakkı davasının devamına karar verdi.
🔏 Avrupa Komisyonu Uzman Grubu, B2B veri paylaşımı ve bulut bilişim sözleşmeleri için model sözleşme şartlarını (MCT) ve standart sözleşme maddelerini (SCC) ayrıntılı olarak açıklayan bir rapor yayınladı.
🏛️ The Wall Street Journal haberine göre, Meta CEO'su Mark Zuckerberg'in AB Dijital Piyasalar Yasası (DMA) uyumuna ilişkin yaklaşan bir karara karşı Beyaz Saray'dan destek aradığı iddia edildi. Bir Meta sözcüsü, Avrupa Komisyonu'nun "sadece Amerikalı oldukları için başarılı Amerikan şirketlerini engellediğini, Çinli ve Avrupalı rakiplerini ise bu durumdan kurtardığını" ileri sürdü.
🤖 Hong Kong veri koruma otoritesi, işyerinde üretken yapay zeka kullanma konusunda dikkat edilmesi gerekenlere dair bir kontrol listesi yayınladı.
🇵🇱 Polonya veri koruma otoritesi, kuruluşların bir veri koruma etki değerlendirmesinin ne zaman yapılması gerektiğini anlamalarına yardımcı olmak için bir rehber yayınladı.
🇬🇧 Birleşik Krallık veri koruma otoritesi ICO, kolluk kuvvetlerinin yüz tanıma teknolojisi kullanımına dair bir açıklama yayınladı. Açıklamada, yüz tanımanın "suçları önlemeye ve tespit etmeye yardımcı olmada açık faydalar sağladığı" ancak "kullanımının gerekli ve orantılı olması gerektiği ve tasarımının adalet ve doğruluk beklentilerini karşılaması gerektiği" ifade edildi.
🇩🇰 Danimarka veri koruma otoritesi, bağlantılı otomobillerin gizlilik risklerine ve ilgili kişilerin haklarına dair bir içerik yayınladı.
🇳🇴 Norveç veri koruma otoritesi, yapay zeka teknolojisinde veri koruma riskleri ve olası zararları yönlendirme konusunda SSS içeriği yayınladı.
Yaptırımlar & Kararlar
🇫🇷 Fransa rekabet otoritesi, iPhone ve iPad cihazlarda kullanıcıların hangi uygulamaların kendilerini takip edebileceğine karar vermelerini sağlayan Uygulama Takip Şeffaflığı (ATT) adlı özelliği nedeniyle, Apple'a 150 milyon euro para cezası verdi. Kararda, ATT’nin hedeflediği amacın kendi içinde eleştirilemeyeceği belirtilirken, uygulama biçiminin Apple’ın kişisel verileri koruma yönündeki beyan edilen amacıyla "ne gerekli ne de orantılı" olduğu vurgulandı. Ayrıca, gizlilik aracının "özellikle küçük yayıncıları cezalandırdığı" ve bu tür yayıncıların iş modellerini sürdürebilmek için üçüncü taraf verilerin toplanmasına büyük ölçüde bağımlı olduklarına dikkat çekildi.
🇮🇹 İtalya veri koruma otoritesi, bir tıp doktorunun belediye seçimleri sırasında hastalarına bir e-posta göndererek, belediye meclisi üyeliği adaylığı hakkında desteklerini ve oylarını istemesi üzerine 10.000 euro para cezası verdi.
🇪🇸 İspanya veri koruma otoritesi, kişisel verilerin ifşa edilmesine yol açan bir paketi üçüncü bir tarafa teslim eden bir kargo şirketine 70.000 euro para cezası verdi. Cep telefonu paketinin içerisinde, şikayetçiye ait kimlik ve telefon numarası gibi bilgilerin yer aldığı ve paketin kötü ilişki içinde olduğu aynı binadaki bir komşusuna teslim edildiği belirtildi.
🇩🇪 Almanya’da temyiz mahkemesi, GDPR'ın 15. maddesi uyarınca veriye erişim talebi kapsamında tüm sigorta primi kopyalarının talep edilemeyeceğine, zira bunların yalnızca kişisel verileri içermediğine dair karar verdi.
Regülasyon Gündemi
🛒 İnternet alışverişlerinde ürün güvenliğine dair Yönetmelik yürürlüğe girdi. 1 Nisan 2025 itibarıyla uygulamaya alınan "Uzaktan İletişim Araçları Yoluyla Piyasaya Arz Edilen Ürünlerin Piyasa Gözetimi ve Denetimi Yönetmeliği", internet yoluyla satılan tüm ürünleri kapsıyor. E-ticaret yapan satıcılar, ilanlarda ürünün üreticisi veya ithalatçısının bilgileri, iletişim adresleri ve ürün güvenliğine dair tüm işaretler gibi tüm detayları açık ve anlaşılır bir şekilde Türkçe olarak sunacak ve tüketiciler, fiziki bir mağazada olduğu gibi ürün hakkında çok daha kapsamlı bilgiye erişebilecek.
🇪🇺 Avrupa Komisyonu, veri işleme faaliyetleri için AB Dijital Hizmetler Yasası (DSA) kapsamındaki veri sahibi haklarını ayrıntılı olarak açıklayan bir karar yayınladı.
🇬🇧 Birleşik Krallık veri koruma otoritesi ICO, anonimleştirme ve takma adlandırma uygulamaları hakkında rehber yayınladı. Rehber içeriğinde, anonimleştirme ve takma adlandırma ile neyin kastedildiği, bunun veri koruma yükümlülüklerini nasıl etkilediği, kişisel verilerin anonimleştirilmesinde nelere dikkat edilmesi gerektiği ve iyi uygulama tavsiyeleri yer alıyor.
🇨🇭 İsviçre’de yürürlüğe giren yeni düzenlemeye göre, enerji ve su tedarikçileri, ulaştırma şirketleri ve yerel yönetimler gibi kritik altyapılardan kuruluşlarının siber saldırıları Ulusal Siber Güvenlik Merkezi'ne bildirmeleri gerekiyor.
🇺🇸 ABD Ulusal Standartlar ve Teknoloji Enstitüsü, Siber Güvenlik Çerçevesi 2.0 ilkeleri doğrultusunda olay müdahalesine yönelik önerileri kapsayan bir taslak belge yayınladı.
🛡️ İngiltere hükümeti Siber Güvenlik ve Dayanıklılık Yasa Tasarısı'nın ayrıntılarını açıkladı. Tasarı; veri merkezleri, yönetilen hizmet sağlayıcılar ve kritik tedarikçiler dahil olmak üzere daha fazla kuruluş ve tedarikçinin güçlü siber güvenlik gereksinimlerini karşılamasını gerektiriyor.
🇪🇺 Avrupa Komisyonu, Dijital Avrupa Çalışma Programı 2025-2027 için uygulama kararını yayınladı. Çalışma Programı, AB Çip Yasası ve Yapay Zeka Tüzüğü'nün uygulanması bağlamında teknoloji egemenliği, demokrasi ve güvenlik konularına dair Komisyon'un yeni dijital politika önceliklerini içeriyor.
Veri İhlali Gündemi
🚨 Kişisel Verileri Koruma Kurumu, Nevşehir Hacı Bektaş Veli Üniversitesi'nin KVKK veri ihlali bildirimini yayınladı. Bildirimde özetle;
Veri sorumlusunun; İzmir Kâtip Çelebi Üniversitesi (İKÇÜ) tarafından geliştirilen Üniversite Bilgi Yönetim Sistemini (ÜBYS) kullandığı ve PingPong Üniversite Rehberi adlı mobil uygulamanın, İKÇÜ tarafından sağlanan web servisleri aracılığıyla veri sorumlusunun personel ve öğrencilerinin kişisel verilerine eriştiğinin tespit edildiği,
Tesadüfen bir öğrencinin kişisel verilerine başka bir mobil uygulamadan erişebildiğini ifade etmesi üzerine durumun farkına vardıklarını, mobil uygulamaya sahip firmanın verileri İzmir Katip Çelebi Üniversitesi (İKÇÜ) üzerinden elde ettiğinin tespit edildiği,
İKÇÜ ile durum hakkında bilgi vermesi için yazışmalar gerçekleştirdiklerini, verilerin İKÇÜ'nün veri sorumlusundan izinsiz paylaştığını tespit edildiği, paylaşım yapılan firmanın kullanıcı sözleşmesi incelendiğinde ise verilerin saklandığı ve işlendiğinin değerlendirildiği,
İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve öğrenciler olduğu,
İhlalden etkilenen kişi sayısının tam olarak bilinmediği ancak web serviste kayıtlı 22.960 aktif öğrenci ve personelin bulunduğu bilgilerine yer verildi.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru, öneri ve talepleriniz için merhaba@privacyturkey.com adresimizden bize yazabilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Instagram |📍 YouTube 📍 Twitter