VERKO Akademi Ocak Ayı KVK Bülteni yayımladı!
28 Ocak Veri Koruma Günü!
Türkiye’nin de taraf olduğu, 108 Sayılı “Kişisel Verilerin Otomatik İşlenmesi Sırasında Gerçek Kişilerin Korunmasına İlişkin Sözleşme” 28 Ocak 1981 tarihinde imzalanmıştır. Avrupa Konseyi ilk olarak 2007 senesinde, bu sözleşmenin imzalandığı gün olan 28 Ocak’ı Avrupa Veri Koruma Günü olarak ilan etti. Daha sonra bu özel gün Dünya’da da yaygınlaşarak kişisel verilerin koruması ve veri güvenliği düzenlemeleri olan ülkelerde değişiklik adlar altında etkinliklerle kutlanmaya başladı. 2016 yılında 108 Sayılı Sözleşme’nin onaylanmasıyla ve Kişiler Verilerin Korunması Kanunu’nun kabulü ile beraber Kişisel Veri Koruma Günü’nü Türkiye’de de kutlamaya başladık.
KVK Kurumu etkinliği COVID-19 salgını nedeniyle bu yıl hibrit etkinlik formatına uygun şekilde hem fiziksel olarak hem de çevrimiçi şekilde gerçekleştirilecektir. Bu etkinliğe fiziksel olarak sadece konuşmacılar kabul edilecek olup program, KVK Kurumu YouTube kanalından canlı olarak 28 Ocak 2021 Perşembe Günü yayınlanacaktır.
TÜRKİYE’DE GÜNDEM
WhatsApp Gizlilik Sözleşmesinde Değişikliğe Gideceğini Açıkladı!
4 Ocak 2021 tarihinde WhatsApp Şirketi kullanıcı Gizlilik Sözleşmesinde değişikliklere gideceğini duyurdu.
Gizlilik Sözleşmesine göre WhatsApp 8 Şubat 2021 tarihinden sonra sözleşmeyi kabul eden kullanıcılarının “bazı” verilerini Facebook ve Facebook bünyesinde bulunan diğer şirketler ile paylaşacak, sözleşmeyi kabul etmeyen kullanıcılar ise bu tarihten sonra uygulamayı kullanamayacaklardı.
Soruşturmaların açılmasının üzerinden 1 hafta geçmeden WhatsApp Inc. Şirketi son güncellemeyle ilgili kafa karışıklığı olduğunu belirterek, yeni hizmet şartlarını içeren güncelleme için verilen süreyi 15 Mayıs’a kadar ertelediğini duyurdu.
Şirketin açıklamasına göre WhatsApp gizlilik sözleşmesi ile ilgili asıl amacı “İşletmelerin WhatsApp Business üzerinden müşteriyle iletişime geçmeleri sırasında şeffaflığın sağlanması ve WhatsApp’ın ana şirketi olan Facebook üzerinden güvenli hosting hizmeti almalarına olanak vermek.” olduğu yönündeydi.
Yürürlüğe girecek olan bu gizlilik güncellemelerinin işletmelerin müşterileriyle olan iletişimlerinde daha fazla güvenilirlik ve şeffaflık sağlanması amacıyla yapıldığı söylense de bunlar, WhatsApp Business kullanmayan kullanıcılar açısından verilerinin Facebook’a aktarımı konusunda endişeler yarattı.
WhatsApp, kullanıcılarına sunduğu gizlilik sözleşmesinde uygulama kapsamındaki tüm sohbetlerde uçtan uca şifreleme yönteminin kullanıldığını belirtmektedir. “Uçtan uca şifreleme” (End to End Encryption / E2E protokolü) ile gönderici ve alıcı arasındaki mesajları yalnızca konuşmanın tarafları görebilmektedir. Gizlilik sözleşmesi sebebi ile Signal uygulamasına geçiş yapan birçok kullanıcı tarafından bilinmese de Signal, WhatsApp ile aynı “uçtan uca şifreleme” protokolü olan “E2E” sistemini kullanmaktadır.
Kısa sürede WhatsApp gizlilik sözleşmesi sosyal medyada büyük tepkilere sebep olurken, ülke gündeminde de kendine yer buldu. Ülke gündeminde tepki çeken WhatsApp’a önce Rekabet Kurulu tarafından daha sonra Kişisel Verilerin Korunması Kurulu tarafından resen soruşturma başlatıldı.
Rekabet Kurulu’nun 11.01.2021 tarihli ve 21-02/25-M sayılı WhatsApp ile ilgili kararına aşağıdaki link üzerinden ulaşabilirsiniz.
Kişisel Verileri Koruma Kurulunun 12.01.2021 tarihli ve 2021/28 sayılı WhatsApp ile ilgili duyuru aşağıdaki link üzerinden ulaşabilirsiniz.
https://www.kvkk.gov.tr/Icerik/6856/WHATSAPP-UYGULAMASI-HAKKINDA-KAMUOYU-DUYURUSU
Bir şeylerin değişmesi için öncelikle farkındalık olması gerekir derler, kişisel verilerin korunması konusunda WhatsApp bu farkındalığı oldukça fazla sağladı ve ülkemizde iki farklı denetleyici ve düzenleyici kurum konuyu çok hızlı bir şekilde gündemine aldı.
İleti Yönetim Sistemi Vatandaşlarımızın Kullanımına Açıldı!
Vatandaşlar telefonuna, e-postasına gönderilen yüzlerce bildirimden bıkarken, İleti Yönetim Sistemi web, e-Devlet ve mobil uygulama üzerinden 7 Ocak’tan itibaren kullanıma açıldı.
İleti Yönetim Sistemi ile vatandaşlar ticari elektronik ileti izinlerini artık tek noktadan kolayca yönetebilir, dilediği hizmet sağlayıcı ve marka için onay verebilir, ileti almak istemediğinde ret hakkını kullanabilecek. İYS’ye girerek i ster mesaj ister telefon araması ya da ikisi birlikte iptal edilebilirken, şirketlerin ret bildirimini takiben üç iş günü içinde ticari elektronik ileti göndermeyi durdurması gerekiyor. Bu süreye riayet etmeyenler içinse, sitede şikâyet bölümü açılacak. Ancak bu süreç, 45 günlük kontrol ve değişiklik süresinin bitiminden sonra işlemeye başlayacak. Yani 16 Şubat’tan sonra vatandaşlar, bildirim iptaline rağmen kendilerine reklam göndermeye devam eden şirketleri form doldurarak, yine site üzerinden şikâyet edebilecekler.
5 Günde 750 Bin Kişi İşlem Yaptı!
5 günde 750 bin kişi, vatandaş iys.org.tr sistemine giriş yaparken, 14 milyona yakın izin verisini değiştirdi. Böylece her bir kişi ortalama 19 izinde değişiklik yapmış oldu.
TikTok, LinkedIn ve Facebook Ocak Ayında Türkiye’de Temsilci Atayacağını Duyurdu!
Türkiye’de temsilci atama kararı alan dijital medya platformlarına Ocak ayında TikTok, LinkedIn ve Facebook katıldı.
Türkiye’de 1 Ekim 2020’de yürürlüğe giren İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun kapsamında, VKontakte (VK), Dailymotion, Spotify, MUBİ, Netflix ve Amazon Prime Video gibi sosyal medya platformları, Türkiye’de temsilci atama kararı veren şirketler arasında yer aldı.
Türkiye’ye temsilci atayacağına dair ocak ayının başında açıklamada bulunan TikTok’u Microsoft’un sahibi olduğu, sosyal iş ağı ve paylaşım platformu olarak faaliyet gösteren LinkedIn takip etmişti. Son olarak 18.01.2021 tarihinde Türkiye’de Temsilci atayacağını duyuran şirket ise Facebook oldu.
Facebook’tan yapılan açıklamada, “Türkiye’de kısa süre önce yeniden düzenlenen ve sosyal medya platformları için yeni yükümlülükler getiren 5651 sayılı Kanun hakkındaki gelişmeleri ilk günden bu yana yakından takip ediyoruz. Yasadan etkilenen diğer bazı şirketler gibi, yeni düzenlemeler doğrultusunda Türkiye’de temsilci olarak bir tüzel kişilik atama sürecini başlatmaya karar verdik. Bu kararı alırken, platformumuzun kullanıcıların ifade özgürlüğü haklarını kullanabilecekleri bir yer olmasının bizim için taşıdığı önemin tekrar altını çizmek isteriz.” ifadeleri kullanıldı.
OCAK AYI KVK KURUL KARARLARI
Kişisel Verileri Koruma Kurulunun 22/12/2020 Tarihli ve 2020/966 Sayılı İlke Kararı Yayımladı!
Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında ilke kararı yayınladı.
İlke kararında veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına, 6698 sayılı Kişisel Verilerin Korunması Kanununa aykırılık oluşturacak şekilde üçüncü kişilerin kişisel verilerini içeren ekstre, fatura vb. belgelerin gönderilmesinin önlenmesini teminen; Kanunun 12nci maddesinin (1) numaralı fıkrası gereğince veri sorumluları tarafından kendilerine bildirilen iletişim bilgilerinin doğruluğunu teyit edecek mekanizmaların oluşturulması adına gerekli idari ve teknik tedbirlerin alınması hususunda Kanunun 15 inci maddesinin 6 numaralı fıkrası uyarınca İlke Kararı alınmasına ve söz konusu İlke Kararının Kurumun internet sayfasında ve Resmi Gazetede ilan edilmesine oybirliği ile karar verilmiştir.
Kararın tamamına aşağıdaki link üzerinden ulaşabilirsiniz.
https://www.verko.com.tr/mevzuat/kvkk/#ilke-kararlari
Kişisel Verileri Koruma Kurulunun 09/10/2020 Tarihli ve 2020/787 Sayılı Kurul Kararı Yayımladı!
Sağlık sektöründe faaliyet gösteren bir şirketin veri ihlaline uğraması üzerine; uğradığı veri ihlalinin, teknik tedbir eksikliğinden kaynaklanmadığına ve veri sorumlusunun müdahale edemeyeceği yaygın bir uygulamadan kaynaklandığına karar verilmiştir.
Ayrıca veri sorumlusunun bu ihlali kısa zamanda fark ederek gereken teknik ve idari tedbirleri almış olması gerekçeleriyle de Kanun kapsamında yapılacak bir işlem olmadığı Kurul tarafından verilen kararda belirtilmiştir.
Kararın tamamına aşağıdaki link üzerinden ulaşabilirsiniz.
Türkiye’de 2020 Yılında Yapılan Veri İhlal Bildirimleri
| Ficosa International Otomotiv San. ve Tic. A.Ş. – 29.12.2020 | Penti Giyim Sanayi ve Ticaret Anonim Şirketi ve İştirakleri – 06.08.2020 |
| UiPath SRL – 22.12.2020 | Fluke Corporation ve Fluke Electronics Corporation – 16.07.2020 |
| Ficosa Otomotiv San. ve Tic. A.Ş. – 22.12.2020 | Mert Grup Sigorta Aracılık Hizmetleri Ltd. Şti. – 16.07.2020 |
| Otokur Otomotiv İnşaat Turizm Sanayi ve Ticaret A.Ş. – 22.12.2020 | Doktor Atadan Egemen KOYUNCU – 09.07.2020 |
| Çizgi Telekomünikasyon A.Ş. – 12.11.2020 | Avon Kozmetik Ürünleri Sanayi ve Ticaret A.Ş. – 23.06.2020 |
| Kale Holding A.Ş. ve Grup Şirketleri – 12.11.2020 | Avivasa Emeklilik ve Hayat A.Ş. – 23.06.2020 |
| UPİ Trans Dış Ticaret A.Ş. – 06.11.2020 | Sezgi Dental Ağız ve Diş Sağlığı Polikliniği – 23.06.2020 |
| Hanon Automotive Climate Sys. Manufacturing Industrial and Commercial Co. – 27.10.2020 | Halk Sigorta A.Ş. – 16.06.2020 |
| Vatan Bilgisayar Sanayi ve Ticaret A.Ş. – 09.10.2020 | EasyJet Plc – 28.05.2020 |
| PSL Elektronik San. ve Tic. A.Ş. – 24.09.2020 | Turkon Holding A.Ş. ve Grup Şirketleri – 16.04.2020 |
| Yalova Belediyesi – 03.09.2020 | Gratis İç ve Dış Tic. A.Ş. – 09.03.2020 |
| Rezzan Günday (Şimşek Eczanesi) – 18.08.2020 | Doğa Sigorta A.Ş. – 09.03.2020 |
| Dap Rotana Dalga ve Vazo Rezidans Toplu Yapı Yöneticiliği – 18.08.2020 | Microsoft Corporation – 04.02.2020 |
| Kariyer.net Elektronik Yayıncılık ve İletişim Hiz. A.Ş. – 18.08.2020 | Exeltis İlaç Sanayi ve Ticaret A.Ş. – 16.01.2020 |
| Barilla Gıda A.Ş. – 18.08.2020 |
DÜNYADA GÜNDEM
EDPB 18 Ocak 2021 Tarihinde Yeni Bir Yönerge Yayınladı!
EDPB, veri ihlali bildirimiyle ilgili örneklerin yazılı olduğu yönergeleri kabul etti. Bu yönergeler, daha fazla uygulama odaklı tavsiyeler sunarak veri ihlali bildirimine ilişkin WP 29 kılavuzunu tamamlamaktadır. Veri ihlallerini nasıl ele alacaklarına ve risk değerlendirmesi sırasında hangi faktörlere dikkat edeceklerine karar vermede veri sorumlularına yardımcı olmayı amaçlamaktadır. Yönergeler, fidye yazılımı saldırıları gibi ulusal denetim otoriteleri (SA) tarafından en yaygın görülen veri ihlali bildirim vakalarının bir envanterini içerir. Örneğin; veri hırsızlığı saldırıları, kayıp veya çalınmış cihazlar veya kâğıt belgeler. Her bir vaka kategorisine göre, kılavuzlar tipik iyi veya kötü uygulamaları sunar, risklerin nasıl tanımlanması ve değerlendirilmesi gerektiğine dair tavsiyeler verir, özellikle dikkate alınması gereken faktörleri vurgular, veri sorumlusunun hangi durumlarda SA’yı bilgilendirmesi ve/veya veri sahiplerini bilgilendirmesi gerektiği konusunda bilgilendirir. Yönergeler, altı haftalık bir süre için halkın görüşüne sunulacaktır.
Halkın katılımıyla ilgili yönergeler ve daha fazla bilgi için linke tıklayınız. https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf
AB’de Uygulanan GDPR Para Cezalarına İlişkin İstatistikler (1 Ocak 2020- 1 Ocak 2021 Dönemi İçin)
*AB Ülkelerinin Toplam GDPR Cezası: 171.300.000 €
*En Yaygın GDPR İhlali: Veri işleme için yeterli yasal dayanak olmaması
*GDPR İhlallerinin En Çok Olduğu Ülke: İspanya – 76
*En Büyük GDPR Ceza Toplamına Sahip Ülke: İtalya – 45.600.000 €
Brezilyalıların %70’inin Veri Koruma Düzenlemelerinden Haberi Yok!
Brezilya kredi bürosu Boa Vista tarafından yapılan bir anket, tüketicilerin %70’inden fazlasının ülkenin Genel Veri Koruma Yasası düzenlemelerini bilmediğini ortaya çıkardı. Ağustos ve Eylül 2020 arasında ankete katılan 500’den fazla tüketiciden, ankete katılanların %90’ı şirketlerin kişisel verilerini uygun şekilde korumadığını düşünüyor ve %77’si olası verilerin kötüye kullanımı konusunda endişeli. Bununla birlikte, %53’ü şirketlere kişisel verilerini vermeden önce gizliliklerini korumak için adımlar atmadıklarını belirtti. -04.01.2021
https://www.zdnet.com/article/brazilians-mostly-unaware-of-data-protection-regulations/
Avusturya Mahkemesi Açık Rıza Davasında Facebook İle Taraf!
Avusturya’daki Viyana Yüksek Bölge Mahkemesi, Telecompaper raporlarında, Facebook’un kullanıcıların açık rızasını almadan kişisel verileri yasal olarak kullanabileceğine karar verdi. Mahkeme, Facebook’un, AB Genel Veri Koruma Yönetmeliğinin 6. Maddesine uyan bir uygulama olan kullanıcı sözleşmelerine dayalı olarak kullanıcı verilerini işlemesine izin verildiğini söyledi. Ancak mahkeme, Facebook’un şartlar ve hizmetler sözleşmesini kullanması şartıyla Avusturya Yüksek Mahkemesine itirazda bulunulmasına izin verecek. -04.01.2021
Somali’nin Dijitalleşmesiyle Ortaya Çıkan Veri Koruma Endişeleri!
The Guardian, dijital teknolojilerin kullanımındaki hızlı artışın Somali’de gizlilik endişelerine neden olduğunu bildirdi. Kâr amacı gütmeyen kuruluşlar, Somalililerin kişisel bilgilerinin veri korumasının olmaması nedeniyle özellikle çevrimiçi ödemelerle ifşa edilme riski altında olduğundan korkuyor. İddiaya göre kuruluşlar, bilgilendirilmiş onam alma işlemini de atlıyor. Dijital Sığınak Direktörü Abdifatah Hassan, veri kaybı vakalarından etkilenen Somalililer için “son derece tehlikeli” olduğunu ve bazı durumlarda bunun “bir ölüm kalım meselesi” olduğunu belirtti. -5.01.2021
Okul Veri Gizliliği Yasası, Ebeveynlere Çocuklarının Bilgileri Üzerinde Daha Fazla Kontrol Sağlayacak!
Illinois Öğrenci Çevrimiçi Kişisel Koruma Yasası’nda yapılan bir güncelleme ile, ebeveynlerin; çocuklarının okullar veya bağlı çevrimiçi hizmetler tarafından tutulan verilerini gözden geçirip düzeltilmesini veya bazı durumlarda bunların kaldırılmasını talep etmesine olanak tanıyacaktır. 2021’de yürürlüğe girecek olan yeni bir Illinois yasası, öğrenci verilerini ihlallerden ve fidye yazılımlarından korumak içindir. –05.01.2021
New York Milletvekilleri Biyometrik Gizlilik Yasasını Tanıttı!
Bir grup New York Milletvekili Biyometrik Gizlilik Yasasını başlattı. Teklif edilen tasarı, biyometrik bilgilere sahip özel kuruluşların veri saklama ve silme programlarını özetleyen yazılı politikalar geliştirmesini ve herhangi bir veriyi paylaşmadan önce onay almasını gerektirecektir. Tasarı ayrıca kuruluşların ellerinde bulunan biyometrik verilerden satış, kiralama, ticaret ve kâr elde etmesini de yasaklayacak. -06.01.2021
https://legiscan.com/NY/text/A00027/2021
Güney Kore PIPA Kore Son Taslak Değişikliklerini Yayınladı!
Güney Kore Kişisel Bilgilerin Korunması Komitesi, Kişisel Bilgilerin Korunması Yasasında yapılan değişikliklerin son taslağını halkın katılımı için yayınladı. Değişiklikler, Güney Kore dışındaki veri aktarımları için ek gereksinimleri, veri taşınabilirliği haklarını, gözetimle ilgili veri koruma hükümlerini ve daha fazlasını içeriyor. -06.01.2021
https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=7059#LINK
https://iapp.org/news/a/south-korea-issues-final-draft-pipa-amendments/
Bebeklerin Biyometrisini Belgeleme Planı Güney Afrika’da Mahremiyet Endişelerini Artırıyor!
Güney Afrika’da doğan her bebeğin dijital kayıtları için fotoğraflarını ve parmak izini alma planları, sağlam güvenlik önlemleri olmaksızın veri sızıntılarına ve kimlik hırsızlığına yol açabilir.
İçişleri Bakanlığı’nın yeni taslak politikası, Güney Afrika’da doğan her çocuğun ayrıntılı biyometriklerini (benzersiz fiziksel özellikleri) yakalamayı ve bu verileri, tüm kimlik belgelerinde basılı olan ebeveynlerin kimlik numaralarına bağlamayı amaçlamaktadır.
ID4Africa İcra Kurulu Başkanı Joseph Atick, “mahremiyet tehdidi gerçek. Bu nedenle, dijital kimliği benimsemeden önce veri koruma gizlilik yasaları ve çerçevelerinin geliştirilmesini teşvik ediyoruz.” -08.01.2021
https://news.trust.org/item/20210107190442-d8qf6/
DÜNYA GENELİNDE KİŞİSEL VERİLERE İLİŞKİN CEZALAR
Datatilsynet’ten Innovation Norway’a 96.819,64€ Para Cezası!
Norveç Veri Koruma Otoritesi (Datatilsynet), kişiyle bir müşteri ilişkisine sahip olunmadan kredi derecelendirmesi gerçekleştirildiği ve kredi derecelendirmelerini çeşitli kaynaklardan kişisel bilgilerin derlenmesiyle yapıldığı dolayısıyla şahsın borç oranıyla ilgili ayrıntılarının gösterildiği gerekçesiyle finansal yatırım ve danışmanlık firması olan Innovation Norway’a 96.819,64€ para cezası verdi.
UODO’dan ID Finance Poland’a 250.000€ Para Cezası!
Polonya Veri Koruma Otoritesi (UODO), siber güvenlik uzmanlarının güvenlik açığı konusundaki bilgilendirmelerine rağmen yeterli teknik ve organizasyonel önlemleri almayıp bunun sonucunda da fidye saldırısına maruz kaldığı için finansal destek hizmeti veren ID Finance Poland’a 250.000€ para cezası verdi.
LfD’den Notebooksbilliger.de’ye 10.400.000€ Para Cezası!
Aşağı Saksonya Eyalet Veri Koruma Komiseri (LfD), herhangi bir yasal dayanak olmaksızın şirketin her bölümünde kamera kaydı tutulduğu, bu kayıtların belirli bir süre veya belirli çalışanlarla sınırlı olmadığı ve çoğu durumda kayıtların gerekenden önemli ölçüde uzun tutulup imha edilmediği gerekçesiyle Notebooksbilliger.de’ye 10.400.000€ para cezası verdi.
AEPD’den CaixaBank SA’ya 6.000.000€ Para Cezası!
İspanyol Veri Koruma Otoritesi (AEPD), gizlilik politikasında net olmayan terimler kullandığı, kişisel verilerin işlenmesi için yasal dayanağa yeterli gerekçe sunmadığı, kişisel verilerin işlenmesiyle ilgili net bir şekilde bilgilendirme yapmadığı, kişisel verilerinin işlenmesi için müşterilerin onayının alınmasına olanak tanıyan süreçlerde eksikliklerin tespit edildiği ve verilerin CaixaBank Group bünyesindeki şirketlere aktarılmasının hukuka aykırı olduğu gerekçesiyle CaixaBank SA’ya 6.000.000€ para cezası verdi.