Veri Koruma & Mahremiyet Gündemi #165
📖 KVKK Sözlük yayımladı, ❎ KVKK Hakkında Doğru Bilinen Yanlışlar, 🇺🇸 Google gizlilik ihlalleri nedeniyle 1.4 milyar dolar ödeme yapacak, 🗓️ Yapay Zeka Teknolojileri ve Kişisel Veriler etkinliği
Selamlar, bu hafta veri koruma ajandamız oldukça yoğun.
Her Pazartesi Türkiye’den ve dünyadan veri koruma alanında yaşanan gelişmeleri yaptırımlar, regülasyon ve veri ihlalleri gibi ana başlıklar altında aktarıyoruz. Haftalık e-posta bültenine linkten abone olabilirsiniz. İletişim için merhaba@privacyturkey.com adresinden bize ulaşabilirsiniz.
İyi okumalar.
Haftanın Gelişmeleri
📖 Kişisel Verileri Koruma Kurumu, ''KVKK Sözlük'' adlı çalışmayı yayımladı. Derleme bir çalışma olarak hazırlanan KVKK Sözlük, 6698 sayılı Kișisel Verilerin Korunması Kanunu ve ilgili mevzuattaki tanımlar ile ulusal çalışmalar bașta olmak üzere; Avrupa Birliği düzenlemeleri ile Avrupa Veri Koruma Kurulu (EDPB), Avrupa Veri Koruma Denetçisi (EDPS), IAPP ve benzeri kuruluşların çalışmaları arasından seçilen yüz kavrama ilişkin tanımın bir araya getirilmesiyle oluşturuldu.
🔏 Kişisel Verileri Koruma Kurumu, “Örneklerle Kişisel Verilerin Korunması” kitapçığını güncelledi. KVKK değişikliği sonrası Mart 2025'te güncellenen çalışmada, kişisel veri, kişisel verilerin işlenmesinde temel ilkeler, kişisel verilerin işlenme şartları, özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişilerin hakları, veri sorumlusuna başvuru, Kurula şikayet, VERBİS kayıt yükümlülüğü ve istisnalar gibi temel konular, veri sorumluları ve ilgili kişilerce daha kolay anlaşılabilmesi amacıyla örneklerle ele alınıyor.
✋ Gizlilik hakları grubu NOYB, Meta'ya karşı durdurma ve vazgeçme mektubu göndererek, AB’de yer alan Facebook ve Instagram kullanıcılarının kişisel verilerini izin almadan yapay zeka modellerini eğitmek için kullanmayı bırakmasını istedi. Eğer talebe uyulmazsa, Avrupa Adalet Divanı'nda şirkete karşı bir ihtiyati tedbir davası açacağını belirtti.
Ek bilgi: Meta birkaç hafta önce yaptığı açıklamda, AB’deki 18 yaş üstü Facebook ve Instagram kullanıcılarının geçmiş ve gelecekteki gönderileri, fotoğrafları ve yorumları dahil olmak üzere herkese açık verilerini yapay zeka eğitimi için kullanacağını duyurmuştu.
❎ Kişisel Verileri Koruma Kurumu, '6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar -1' başlıklı çalışmayı güncelledi. Ocak 2020'de yayımlanan, KVKK değişikliği sonrası Mart 2025'te güncellenen çalışmada, kişisel verilerin korunması mevzuatında yer alan bazı temel konular, kamuoyunda farkındalık oluşması amacıyla soru-cevap formatında ele alınıyor.
Ek bilgi: '6698 sayılı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar -2' başlıklı çalışma da güncelledi.
🗓️ Kişisel Verileri Koruma Kurumu ve İstanbul Teknik Üniversitesi iş birliğinde, “Yapay Zeka Teknolojileri ve Kişisel Veriler” temasıyla “II. Ulusal Kişisel Verilerin Korunması Sempozyumu” düzenleniyor. 20 Mayıs Salı gerçekleşecek sempozyumda, yapay zeka algoritmalarıyla profilleme, yapay zeka regülasyonları, veri koruma hukuku prensipleri ile yapay zeka uygulamaları, öneri modelleri, istihdamda yapay zeka kullanımı ve kişisel verilerin otomatik işleme tabi tutulması karşısında itiraz hakkı gibi konular ele alınacak.
🏛️ Kişisel Verileri Koruma Kurulu'nda boş bulunan 2 üyelik için atama kararı Resmi Gazete'de yayımlandı. Cumhurbaşkanlığı kararına göre, Hasan AYDIN ve Ayşenur KURTOĞLU, Kişisel Verileri Koruma Kurulu Üyeliklerine seçildi.
🔴 Avrupa Komisyonu, AB Dijital Hizmetler Yasası (DSA) kapsamında TikTok'tan reklamlarının içeriği, kullanıcıların reklamlar tarafından nasıl hedeflendiği ve reklamların alıcıları hakkında yeterli bilgi almadığını duyurdu. TikTok'un ihlalde bulunduğu tespit edilirse, yıllık cirosunun %6'sına kadar para cezasına çarptırılacağı belirtildi.
🇳🇴 Norveç veri koruma otoritesi, okullarda dijital öğrenme araçlarının kullanımına dair yürüttüğü soruşturmanın bulgularını anlatan bir rapor yayınladı. Bulguların başında, dijital öğrenme araçlarının birçoğunun belediyeler tarafından merkezi olarak değerlendirilmediği, okul müdürü veya bireysel öğretmenler tarafından kararlaştırıldığı belirtildi. Ayrıca, ücretsiz eğitim araçlarının, öğrencilerin reklamlara maruz kalması ve ticari amaçlarla verilerinin toplaması nedeniyle yüksek gizlilik riski içerdiği açıklandı.
🇪🇺 Avrupa Veri Koruma Denetçisi, AB yasama organlarının vatandaşların bilgilerinin korunmasına öncelik vermesini öneren son rehberin ayrıntılarını yayınladı. Rehberin, Avrupa Komisyonu, Avrupa Parlamentosu ve Avrupa Konseyinin yasa yaparken vatandaşlar için yüksek bir veri koruma standardı sağlamak için dikkate almaları gereken öğelerin bir kontrol listesini içerdiği belirtildi.
👨👩👧👦 Google, kullanıcıların güvendikleri kişilerle bilgi paylaşırken verileri üzerinde kontrol sahibi olmalarını sağlamayı amaçlayan ‘‘güven grafikleri’’ hakkında bir araştırma yayınladı.
🇦🇺 Avustralya veri koruma otoritesi, yıllık veri ihlali raporunu yayınladı. 2024 yılında düzenleyici kuruma 1.100'den fazla veri ihlali bildirdiği ve bunun 2018'de başlayan zorunlu veri ihlali bildirimi yükümlülüğünden bu yana en yüksek yıllık toplam olduğu belirtildi.
🤖 Instagram, kullanıcıların yaşını doğrulamak için yapay zekayı kullanacağını duyurdu. Yapay zeka destekli yaş doğrulama aracının reşit olmayan kullanıcıları tespit etmesi halinde, bu hesapların hassas içeriklere erişiminin sınırlanacağı belirtildi.
🚨 Yapay zeka aracılığıyla ünlü isimlerin ses ve görüntülerini taklit eden ve bu yöntemle çok sayıda kişiyi yüz milyonlarca lira dolandıran çeteye yönelik, emniyet ve istihbarat güçlerinin koordine şekilde çalıştığı İstanbul merkezli operasyonlarda, 28 ilde eş zamanlı olarak düzenlenen baskınlar ile 72 şüpheli yakalandı.Yaklaşık 500 milyon dolar miktarında elde edilen paraların Kamboçya merkezli bir kripto para hesabına gönderildiği ortaya çıktı.
📊 Yeni Zelanda veri koruma otoritesi, katılımcıların %67'sinin çocukların gizliliği konusunda endişe duyduğunu ve bireylerin %80'inden fazlasının ise kişisel verilerinin toplanması ve kullanımı üzerinde daha iyi bir kontrole sahip olmak istediğini belirten yıllık gizlilik anketinin sonuçlarını yayınladı.
🇹🇷 Resmi Gazete’de yayımlanan Cumhurbaşkanlığı genelgesiyle, 22 Mayıs “Finansal Okuryazarlık Günü” ilan edildi.
Yaptırımlar & Kararlar
👀 Yargıtay, kişinin cep telefonunun izinsiz alınarak kiminle, ne zaman ve ne sıklıkla görüştüğünü gösteren arama kayıtlarına bakılmasının, kişisel verileri hukuka aykırı olarak ele geçirme suçu oluşturduğuna hükmetti. Kararda, kişisel verilerin sadece bir yere kaydedildiğinde değil, sadece gözle görülmesi ya da duyu organlarıyla fark edilmesi durumunda bile TCK kapsamında “ele geçirilmiş” sayılacağı ifade ediliyor.
🇺🇸 Google, Teksas eyaletinde kullanıcı gizliliğini ihlal ettiği iddiasıyla açılan davaları çözmek üzere yaklaşık 1,4 milyar dolar ödemeyi kabul etti. Teksas Başsavcılığı tarafından 2022'de açılan iki ayrı davada Google, kullanıcıların konumlarını, özel aramalarını (gizli modda bile) izlemek ve ses izleri ve yüz geometrisi gibi biyometrik verilerini toplamak da dahil olmak üzere Teksaslıların verilerini rızaları olmadan işlemekle suçlanıyordu. Başsavcı, 1,375 milyar dolarlık anlaşmayı "Teksaslıların mahremiyeti için büyük bir zafer" olarak nitelendirerek, "Büyük Teknoloji şirketleri kanunun üstünde değildir" ifadelerini kullandı.
Ek bilgi: Yaklaşık 10 ay önce Meta, Facebook'un "Etiket Önerileri" adlı özelliği aracılığıyla yüz tanıma teknolojisini kullanarak biyometrik verileri izinsiz toplamakla suçlandığı davada Teksas'a 1,4 milyar dolar tazminat ödemeyi kabul etmişti.
🇰🇷 Güney Kore veri koruma otoritesi, yurt dışı veri transferleri ve kullanıcıları bilgilendirmeme gibi nedenlerle Çinli e-ticaret platformu Temu'ya 1,386 milyar KRW para cezası verdi. Temu’nun, kullanıcı izni olmadan kişisel verileri yabancı sunucularda sakladığı ve üçüncü tarafların veri işleme süreçlerini denetlemediği belirtildi.
💶 Almanya’da bir üst derece mahkemesi, bir veri kazıma olayının ardından kişisel veriler üzerindeki kontrolün kaybedilmesinin, GDPR'nin 82(1) maddesi uyarınca manevi zarar oluşturduğuna karar verdi. Ayrıca, veri sahibinin bu durumu ispatlamasının gerekli olmadığı ifade edildi. Alman Federal Adalet Divanı'nın güncel bir kararına da atıf yapılarak, bir veri ihlali sonucu kişinin verileri üzerindeki kontrolünün kaybının, bu verilerin kötüye kullanılacağına dair haklı korkunun kanıtlanmasa bile manevi zarar oluşturabileceği belirtildi.
🇳🇱 Hollanda’da bir mahkeme, iki veri sahibinin LinkedIn'in web sitesinde izleme çerezleri kullanmasını yasaklanmasına yönelik ön tedbir talebini, veri sahiplerinin bunların kullanımına onay verdiği gerekçesiyle reddetti. İlgili kişiler, dosyaya BT ve güvenlik uzmanı raporu sunarak, çerezlerin hedefli reklamların görüntülenmesine olanak tanıyan Gerçek Zamanlı Teklif Verme (RTB) sistemi için kullanıldığını iddia etti. LinkedIn savunmasında, dava konusu çerezlerin, web sitesi ziyaretçi çerez tercihlerini depolamak, sahte trafiği önlemek ve platformda kötüye kullanımı tespit etmek için teknik olarak gerekli olduğunu ve GDPR uyarınca önceden onay gerektirmediğini belirtti. Ayrıca, her iki veri sahibinin de gerekli olmayan çerezlerin kullanımına onay verdiğine dair ekran görüntüleri sundu. Ekran görüntülerinde, "LinkedIn ve üçüncü taraflar, size hizmetlerimizde ve hizmetlerimiz dışında ilgili reklamları (işler dahil) sunmak ve reklamların görüntülenmesini ve etkinliğini ölçmek için çerezleri kullanabilir mi?" sorusuna onay verdikleri belirlendi.
🇪🇸 İspanya veri koruma otoritesi, GDPR 6(1) maddesi uyarınca yasal bir dayanak olmaksızın olası bir müşteri tarafından yatırılacak paraların kaynağını doğrulamaya çalışması nedeniyle ING Bank Spain'e 1.600.000 euro para cezası verdi. Bir başka kararında ise, bir site yönetiminin borçluların listesini binanın lobisindeki kilitli ilan panosuna asması ve bazı hatalar içeren aynı listeyi e-posta yoluyla paylaşması nedeniyle 2.000 euro para cezası uygulandı. Listenin, yüzlerce dairenin kısa süreli konaklamalar için turistlere kiralandığı bir sitede yer alması sebebiyle, çok sayıda kişiye ulaştığı ifade edildi.
🇩🇪 Almanya Kuzey Ren-Vestfalya veri koruma otoritesi, Meta'ya bir durdurma ve vazgeçme bildirimi göndererek şirketin AB kullanıcı verileriyle yapay zeka eğitimini durdurmasını istedi.
Regülasyon Gündemi
🇪🇺 Avrupa Komisyonu, Dijital Hizmetler Yasası (DSA) kapsamında, çocukların çevrimiçi ortamda korunmasına ilişkin taslak yönergeler yayınladı ve 10 Haziran'a kadar sürecek kamuoyu görüş çağrısı başlattı. Taslak yönergeler, 18 yaş altı kullanıcılar için yaş güvence önlemleri, gizlilik kontrolleri ve içerik kısıtlamaları gibi kurallar içeriyor.
🇫🇷 Fransa veri koruma otoritesi CNIL, eğitim sektöründeki veri koruma görevlileri ve idari çalışanlar için veri ihlali yükümlülükleri hakkında bir rehber yayınladı. Rehberde, okulların veri koruma düzenlemelerine uyması, veri ihlallerini önlemek için güvenlik önlemleri alması ve veri güvenliği olaylarına hızlı bir şekilde yanıt vermesi gerektiği belirtildi.
🇺🇸 Kaliforniya veri koruma otoritesi CPPA, otomatik karar alma teknolojisi, siber güvenlik denetimleri ve risk değerlendirmeleri gibi süreçler bakımından ikincil düzenleme taslağı yayınladı.
🇩🇰 Danimarka veri koruma otoritesi Datatilsynet ve Dijital Hükümet Ajansı, çerezler ve diğer benzer teknolojileri kullanan web sitesi ve uygulama geliştiricileri için ortak bir kılavuz yayınladı.
🏛️ ABD senatörlerinden oluşan iki partili bir grup, geçen yıl Senato'da 91-3 oyla kabul edilen Çocukların Çevrimiçi Güvenliği Yasası'nı (KOSA) yeniden gündeme getirdi. KOSA adlı tasarının internetten içerik sınırlamayacağı, sansürlemeyeceği veya kaldırmayacağı belirtildi.
Veri İhlali Gündemi
🛡️ Kripto para borsası Coinbase, bir fidye yazılımı grubunun kullanıcılara ait kişisel verileri ihlal ettiğini duyurdu. TechCrunch haberine göre hacker’lar tarafından; adresler, telefon numaraları, banka bilgileri ve sosyal güvenlik numaralarının son dört hanesi dahil olmak üzere kullanıcı verilerini için 20 milyon dolar fidye talep edildiği belirtildi.
🚨 ABD Adalet Bakanlığı, küresel bir botnet'e bağlı enfekte sunuculara erişim satarak 46 milyon dolar’dan fazla gelir elde ettiği iddia edilen Rusya ve Kazakistan uyruklu dört kişi hakkında soruşturma başlattı.
Bu sayılık bu kadardı. Bir sonraki hafta görüşmek üzere!
Bülteni sevdiyseniz beğenebilir, paylaşabilir, her Pazartesi gelen kutunuzda görmek isterseniz abone olabilirsiniz. Her türlü soru, öneri ve talepleriniz için merhaba@privacyturkey.com adresimizden bize yazabilirsiniz.
🌐 privacyturkey.com | 📍 Linkedin | 📍 Instagram |📍 YouTube 📍 Twitter