Veri Koruma & Mahremiyet Gündemi #158
🛡 SPK'dan sızma testine dair 11 aracı kuruma 2.8 milyon TL ceza, 🌐 BTK'dan WhatsApp ve Telegram gibi uygulamalara düzenleme, 🔑 KVKK'dan biyometrik verilerin işlenmesine dair rehber güncellemesi
Selamlar, iyi bayramlar.
Her Pazartesi Türkiye’den ve dünyadan veri koruma alanında yaşanan gelişmeleri yaptırımlar, regülasyon ve veri ihlalleri gibi ana başlıklar altında aktarıyoruz. Haftalık e-posta bültenine linkten abone olabilirsiniz. İletişim için merhaba@privacyturkey.com adresinden bize ulaşabilirsiniz.
Haftanın Gelişmeleri
🔑 Kişisel Verileri Koruma Kurumu, 'Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber'i güncelledi. Eylül 2021'de yayımlanan, KVKK değişikliği sonrası Mart 2025'te güncellenen rehberde, biyometrik veri işleme ilkeleri ile birlikte biyometrik veri güvenliğine dair başlıklar yer alıyor.
🇮🇪 İrlanda veri koruma otoritesi, AB vatandaşlarına ait verilerin Çin'e aktarılmasıyla ilgili soruşturmanın ardından TikTok'a karşı nihai kararını yakında açıklayacağını duyurdu. Taslak karar hakkında diğer Avrupa veri koruma otoriteleriyle bir ay süren istişarenin tamamlandığı ve "hiçbir itiraz" gelmediği belirtildi.
⚖️ Meta, bir insan hakları savunucusunun açtığı dava üzerine, hedefli reklamlar için kişinin verilerini artık kullanmayacağına dair anlaşma yaptı. İlgili dava hakkında Birleşik Krallık veri koruma otoritesi ICO, hedefli reklamcılık sürecinde kişisel veri kullanımına itiraz etme hakkını teyit eden bir açıklama yayınladı.
🟢 Avrupa Birliği Adalet Divanı Başsavcısı Tamara Ćapeta, İrlanda veri koruma otoritesi tarafından 2021’de WhatsApp’a verilen 225 milyon euro’luk cezaya ilişkin Meta'nın ulusal mahkemeye itiraz etme yetkisi lehine bağlayıcı olmayan bir görüş bildirdi.
🇪🇺 Avrupa Komisyonu'ndan bir sözcü Euronews'e yaptığı açıklamada, Meta’nın yapay zeka sohbet modelinin AB Dijital Hizmetler Yasası (DSA) kapsamındaki yükümlülükleri karşılayıp karşılamadığını kontrol etmek için Meta'nın risk değerlendirmesi yapmasını beklediklerini söyledi. DSA’ya göre şirketlerin yeni işlevleri devreye almadan önce ve her yıl risk değerlendirmelerini Komisyona sunması gerekiyor.
🧬 ABD’li genetik test şirketi 23andMe, 2023'te yaklaşık 7 milyon müşteriye ait kişisel verileri ihlale uğraması üzerine iflas başvurusu yaptı. Şirket geçen yılın sonlarında ihlalle ilgili açılan davada 30 milyon dolar tutarında bir anlaşmaya varmıştı. Birleşik Krallık DPA, şirketin iflas sürecinden geçerken müşteri verilerini korumakla yükümlü olduğunu açıkladı. Verilerin silinmesine dair benzer açıklama da Fransa DPA’dan yapıldı.
🇭🇺 Avrupa Komisyonu, Macaristan hükümetinin toplumsal gösterilerde yüz tanıma teknolojisini kullanması durumunda harekete geçeceğini belirtti. Bir Komisyon sözcüsüne göre, devam eden bir protesto sırasında yüz tanıma yazılımı kullanılmasının AB Yapay Zeka Tüzüğü’nün ihlali olacağı ifade edildi.
🇨🇦 Kanada veri koruma otoritesi, kuruluşların veri ihlallerine dair bireylere yönelik "önemli zarar" riskini belirlemesine yardımcı olmayı amaçlayan bir araç seti yayınladı.
❌ Wired'ın haberine göre, bazı Avrupa kuruluşları ABD hükümetinin şirketlerin verilerine erişim talep edebileceği endişesiyle Google, Amazon ve Microsoft gibi ABD’li bulut sağlayıcılarını kullanmaktan uzaklaşmayı düşünüyor.
🧠 Nvidia, müşterileri ve geliştiricileri tarafından kullanılan yapay zeka eğitim verilerini desteklemek amacıyla sentetik veri girişimi Gretel'i satın aldı. Wired'ın haberine göre, şirketin yapay zeka eğitim veri kıtlığını çözmek için bu adımı attığı belirtildi.
🇺🇸 ABD Federal İletişim Komisyonu, güvenlik endişeleri nedeniyle ABD'de yasaklanan Çin cihazları veya hizmetlerinin halen satılıp satılmadığını araştırmak için bir soruşturma başlattı.
Yaptırımlar & Kararlar
🛡 Sermaye Piyasası Kurulu (SPK) sızma testi süreçlerine dair 11 aracı kuruma, yaklaşık 2.8 milyon TL tutarında para cezası uyguladı.
🇮🇹 İtalya veri koruma otoritesi Garante, istenmeyen pazarlama çağrılarıyla ilgili 82 şikayet aldıktan sonra bir enerji şirketine 300.000 euro para cezası verdi. Şirketin onay alma yönteminin hatalı olduğu, geçerli onay alınmadığı ve üçüncü taraflarla veri paylaşımı yapıldığı belirtildi. Bir başka kararında ise, bir otomobil servisinin çalışanlara tahsis ettiği iş araçlarının konumlarını bilgi vermeden izlemesi üzerine 50.000 euro para cezası verdi.
🇬🇧 Birleşik Krallık veri koruma otoritesi ICO, sağlık kuruluşlarına yazılım hizmeti sağlayan bir şirketin fidye yazılımı saldırısı sonucu 79.404 kişinin verilerini ihlale uğratması üzerine, tedbir eksikliği nedeniyle 3,07 milyon sterlin para cezası verdi.
🇳🇴 Norveç veri koruma otoritesi, bir telekomünikasyon şirketine, GDPR'ın DPO atama gerekliliklerine uymadığı için 4.000.000 NOK (351.477,64 €) para cezası verdi.
🇪🇸 İspanya veri koruma otoritesi, sistemde oluşan hatalar nedeniyle ilgili kişinin banka hesaplarına sınırlı yetki verilen annesinin erişmesi üzerine bir bankaya 3.500.000 euro para cezası verdi.
Regülasyon Gündemi
🌐 Bilgi Teknolojileri ve İletişim Kurumu (BTK), WhatsApp, Telegram ve Zoom gibi uygulamalara yönelik taslak düzenlemeyi kamuoyu görüşüne açtı. Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği’nde değişilik öngören taslak kurallara göre, Şebekeler Üstü Hizmet; İnternet erişimine sahip abone ve kullanıcılara, işletmecilerden veya sağlanan internet hizmetinden bağımsız olarak kamuya açık bir yazılım vasıtası ile sunulan; sesli, yazılı, görsel iletişim kapsamındaki kişiler arası elektronik haberleşme hizmetleri olarak tanımlanıyor.
🇺🇸 Kaliforniya Sivil Haklar Konseyi, istihdam süreçlerinde ayrımcılığı yasaklayan Otomatik Karar Sistemlerine dair yönetmelikler kabul etti. Yapay zeka ve makine öğrenimini içerebilen bu sistemlerin, ayrımcılık yapan istihdam kararları alması ve işe alım öncesi uygulamalarda belirli bireylere öncelik veren şekillerde kullanılması yasaklanıyor.
🇫🇷 Fransa veri koruma otoritesi CNIL, bağlı araçlardaki konum verilerinin kullanımıyla ilgili taslak tavsiyesi hakkında kamuya görüş çağrısı başlattı. Konum ve coğrafi konum verileri arasında ayrım yapılarak GDPR uyumluluğu vurgulandı ve tavsiyelerin otomobil üreticileri ile filo yöneticileri gibi çeşitli paydaşları kapsadığı belirtildi.
🇪🇸 İspanya hükümeti, dijital ortamlarda çocukları korumayı amaçlayan bir yasa tasarısı sundu. Taslak, küçüklerin dijital kaynaklara erişim ve koruma hakları, mobil cihazlarda ebeveyn kontrol sistemleri, sosyal medya bağımlılığını ele alan sağlık yönergeleri gibi başlıklar içeriyor.
❌ Virginia valisi, "yüksek riskli" yapay zeka sistemlerini geliştirme ve kullanma konusunda yükümlülükler getiren bir AI yasa tasarısını veto etti.
✅ Utah valisi, Apple ve Google gibi uygulama mağazalarına yönelik, 18 yaşın altındakiler için yaş doğrulaması gerektiren ve ebeveynlere çocuklarının mobil cihazlarına hangi uygulamaları indirecekleri konusunda kontrol sağlayan -türünün ilk örneği- bir yasayı yürülüğe girmesi için imzaladı.
🇳🇴 Norveç Dijitalleştirme ve Kamu Yönetimi Bakanlığı, AB Yapay Zeka Tüzüğü kapsamındaki denetim kurumu olan AI Norway'i oluşturmak için mevzuat hazırladı.
Veri İhlali Gündemi
🇺🇦 Ukrayna'nın devlet demir yolu işletmecisi Ukrzaliznytsia, pazartesi günü büyük çaplı bir siber saldırıya uğradığını duyurdu. Siber saldırının mobil uygulama dahil olmak üzere çevrimiçi bilet satışlarını etkilediği belirtildi.
🇬🇷 Yunanistan veri koruma otoritesi, bir bankada yaşanan veri ihlali sonucu yetkisiz bir şekilde 6.000'den fazla çalışanın verilerine erişilmesi üzerine 3.000 euro para cezası verdi.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru, öneri ve talepleriniz için merhaba@privacyturkey.com adresimizden bize yazabilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Instagram |📍 YouTube 📍 Twitter