VERKO Akademi Nisan Ayı KVK Bülteni Yayımladı!
TÜRKİYE’DE GÜNDEM
7 Nisan Kişisel Verileri Koruma Günü!
Ülkemizin kişisel verilerin korunmasına ilişkin olarak 1981 yılında 108 Sayılı Sözleşme’yi imzalamasıyla başlayan yolculuğunun 2010 yılında yapılan Anayasa değişikliği, 2016 yılında 108 Sayılı Sözleşme’nin onaylanması ve nihayetinde 7 Nisan 2016 tarihinde Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesi ile önemli bir aşamaya ulaştı.
Kanunun kabulü; ülkemizde kişisel verilerin sınırsız biçimde ve gelişigüzel toplanmasının, yetkisiz kişilerin erişimine açılmasının, kişisel verilerin amacı dışında veya kötüye kullanımı sonucu kişilik haklarının ihlal edilmesinin önüne geçilmesi amacıyla önemli bir adımdır.
Kurum Başkanı Prof. Dr. Faruk BİLİR;
“Veri koruma bilincini zihinlere yerleştirmek, veri koruma kültürünü bireyler, kurum ve kuruluşlar arasında yaygın hale getirmek ve en önemlisi de; ülkemizin geleceğinin teminatı olan çocuklar ve gençlerin veri koruma kültürüyle yetişmelerini sağlamak da yine bu günün amaçları arasındadır.”
“Tıp Etiği ve Kişisel Verilerin Korunması’’ Konulu Çarşamba Semineri Düzenlendi!
Sunumuna etik kavramını tanımlayarak başlayan Doç. Dr. P. Elif EKMEKCİ, biyoetiğin canlılık ile ilgili tüm uğraşların değer sorunlarına eğilen etik alanı olduğunu, tıp etiğinin ise biyoetiğin bir alt segmenti olarak düşünülmesi gerektiğini ifade etti. Tıp etiğinin temel ilkeleri arasında ‘hastanın mahremiyetine ve kişisel verilerinin korunmasına önem vermek’ ilkesinin de bulunduğunu belirten EKMEKCİ, kişisel veriler ve tıp uygulamaları kesişimlerini ele alarak hekim-hasta ilişkisindeki temel unsurlardan bahsetti.
Semineri izlemek için tıklayınız.
Dijitalleşen Dünyada Kişisel Verilerin Korunması Konferansı Gerçekleştirildi!
Kurum Başkanı Prof. Dr. Faruk BİLİR konuşmasında, Kanunun doğru anlaşılması ve Kanuna uyum sağlanmasının son derece önemli olduğunu ve Kanunun anlaşılmasının; Kurul kararları, mahkeme içtihatları ve akademisyenlerin görüşleriyle mümkün olacağını, uygulamada ortaya çıkabilecek soru ve sorunların bu şekilde çözüme kavuşabileceğini belirtti.
Kişisel verilerin korunması alanındaki küresel gelişmelerden de bahseden BİLİR, 25 Mayıs 2018 tarihinde yürürlüğe giren AB Genel Veri Koruma Tüzüğü (GDPR) ile kişisel verilerin korunmasında yeni bir sayfanın açıldığını ve AB Genel Veri Koruma Tüzüğü ile bireylere üst düzey bir koruma getirildiğini ifade etti.
Ayrıca, Tüzüğün veri sorumluları açısından risk temelli bir yaklaşım benimsediğini belirten BİLİR, ‘‘AB veri güvenliğinin güncel yapısının Türkiye’deki kamu, iş dünyası, akademi ve sivil toplum merkezli paydaşlar tarafından da çok iyi anlaşılması gerektiğini düşünüyorum’’ dedi.
Bu kapsamda Kanunun, Avrupa Birliği standartlarıyla uyumlu hale getirilmesinin önemine de değinen BİLİR, Kurumun çalışmalarını bu yönde sürdürdüğünün altını çizdi.
Konferansı izlemek için tıklayınız.
Veri İhlal Bildirimleri
Yapı ve Kredi Bankası AŞ tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
Bir çalışanın, kendisine görevi nedeniyle tanımlanan Bankalar Birliği Risk Merkezi istihbarat kayıtları sorgulama yetkisini görevi dışında kullanarak, sorgulamalar yaptığı ve edindiği bu bilgileri üçüncü kişilere aktardığı, Türkiye Bankalar Birliği’nin veri sorumlusuna gönderdiği yazıya istinaden soruşturma başlatılması sonucunda 05.04.2021 tarihinde tespit edildiği, tahmini olarak 2484 kişinin; TC kimlik numarası, ad, soyad, iletişim bilgileri, kredi risk ve teminat durumu, ödeme performans bilgileri, karşılıksız çek ve protestolu senet ödeme bilgilerinin etkilendiği ifade edilmiştir.
Karacabay Turizm San. ve Dış Tic. Ltd. Şti. tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
İhlalin; veri tabanı ve yedeklerin bulunduğu sunucuların fidye saldırısı neticesinde şifrelenmesi sonucunda gerçekleştiği, veri sorumlusunun otelcilik işletmelerinden olan Hotel Levni’nin otel programına giriş sağlanamaması neticesinde tespit edildiği, çalışanlar ve müşterilerin; kimlik ve özlük verilerinin etkilendiği ifade edilmiştir.
Sine İtriyat Par. Tem. Ür. Gıd. İnş. Mim. Müh. İth. İhr. ve Tic. AŞ tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
İhlalin, siber saldırı sonucunda veri sorumlusunun sistem dosyalarına erişiminin engellenmesiyle gerçekleştiği, çalışanların, kullanıcıların ve müşterilerin; kimlik, iletişim, özlük, müşteri işlem, işlem güvenliği ve finans verilerinin etkilendiği ifade edilmiştir.
Pierre Fabre Dermokozmetik Ltd. Şti ve Pierre Fabre İlaç AŞ tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
İhlalin, veri sorumlularının Fransa’daki genel merkezine bir siber saldırı sonucu gerçekleştiği, çalışanların, kullanıcıların, müşterilerin ve potansiyel müşterilerin; kimlik, iletişim, lokasyon, özlük, hukuk, işlem, müşteri işlem, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama ve dernek üyeliği kişisel verilerinin etkilendiği ifade edilmiştir.
Air India Limited tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
İhlal, hizmet sağlayıcısı olarak faaliyet gösteren SITA Passenger Service System Inc’nin (“SITA”) (veri işleyen) siber saldırıya uğraması sonucu gerçekleşmiştir. İhlalden sık uçuş gerçekleştiren kişilere ait id, üyelik durumu, kullanıcı adı, toplanılan uçuş puanı, üyelik seviyesi, e-posta adresi, telefon, uçuş kodu, doğum tarihi, cinsiyeti, genel bilgiler ve kredi kartı bilgileri ifade edilmiştir.
Veri sorumlusu sıfatını haiz olan DLSY Adi Ortaklığı (Daelim İnşaat Geliştirme AŞ, Limak İnşaat Sanayi ve Ticaret AŞ, SKEC Anadolu Mühendislik ve İnşaat Ltd. Şti., SK Engineering & Construction Co. Ltd. ve Yapı Merkezi İnşaat ve Sanayi AŞ) tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
Veri sorumlusuna ait bazı sunucu ve dosyaların saldırganlar tarafından şifrelenerek fidye talebinde bulunulduğu, saldırıdan etkilenen sunuculardaki kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, hukuki işlem, fiziksel mekân güvenliği, işlem güvenliği, finans, mesleki deneyim, görsel ve işitsel kayıtlar, dernek üyeliği, vakıf üyeliği, sendika üyeliği, sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirleri olduğu, etkilenen tahmini kişi sayısının 20.000 olduğu ve bu kişilerin adi ortaklık çalışanları, adi ortaklık çalışan yakınları ve taşeron çalışanlarının olduğu ifade edilmiştir.
KİŞİSEL VERİLERİ KORUMA KURUL KARARLARI
29/09/2020 tarihli ve 2020/755 sayılı Karar
İlgili kişi, aidatının bazı aylarda eksik, bazı aylarda ise hiç verilmediğine dair bilgileri veri sorumlusu olan site yönetiminin ev sahibine SMS ile ilettiği için şikâyet etmiştir. İlgili kişinin kişisel verisi niteliğinde olan aidat borç bilgilerinin, veri sorumlusu tarafından ev sahibinin isteği üzerine paylaşıldığı, bu paylaşımın 634 sayılı Kat Mülkiyeti Kanununun 22 nci maddesinde yer alan hüküm uyarınca gerçekleştirildiği dikkate alındığında söz konusu şikâyet hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
29/09/2020 tarihli ve 2020/746 sayılı Karar
İlgili kişi, hizmet alımı esnasında yaşadığı ihtilaf nedeniyle veri sorumlusu ile yapılan görüşmeye ait ses kayıtlarını istemiştir. Veri sorumlusu 30 gün içerisinde kendisine cevap vermediği için ilgili kişinin müşteri hizmetleri ile yaptığı görüşmede “bir örneğinin tarafına verilmesi gerektiği ancak verilmediğini, bu verilerin ilgili kişiye ait kişisel veriler olduğunu, veri sorumlusunun hangi tarihte kaç kere aradığına dair kayıtlarının da tutulduğunu, ayrıca, bunların da kişisel veri niteliği taşıdığını, bu verileri bilmeye hakkı olduğunu” belirtmiştir. Kurul; söz konusu dökümün, ilgili kişi dışında başkalarının kişisel verileri varsa bunlar çıkarılmak veya maskelenmek gibi önlemler alınarak ilgili kişiye gönderilmesi yönünde veri sorumlusunun talimatlandırılmasına ve ilgili kişi başvurusuna süresi içinde bir cevap verilmesi yönünde veri sorumlusunun talimatlandırılmasına karar verilmiştir.
08/10/2020 tarihli ve 2020/769 sayılı Karar
İlgili kişi; eski çalışanı olduğu şirketin, başka bir şirkete bütün borç, ödev ve yükümlülükleri ile devrolduğu ancak kişisel verilerin elde edilmesi sırasında tarafına herhangi bir aydınlatma yapılmadığı, veri sorumlusu devralan şirketin internet sitesinde sunulan aydınlatma metninin açık ve belirli olmayan muğlak ifadeler içerdiği, şahsına ilişkin özlük dosyasında sağlık verilerinin de bulunduğu ve bu veri işleme faaliyeti için açık rızasının alınmadığı ve veri sorumlusu tarafından kendisine gönderilen ticari elektronik iletiler aracılığıyla herhangi bir hukuka uygunluk sebebi olmaksızın kişisel verilerinin işlendiği iddia edilerek veri sorumlusu hakkında gereğinin yapılmasını talep etmiştir.
Kurul; şikayet dilekçesi ve veri sorumlusunun cevaplarından ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiğinin anlaşıldığı, 6698 sayılı Kişisel Verilerin Korunması Kanununun 07.04.2016 itibariyle yürürlüğe girdiği, bu çerçevede söz konusu tarihler itibariyle Kanunun yürürlüğe girmemiş olması sebebiyle kişisel verilerin elde edilmesi sırasında aydınlatma yükümlülüğünün yerine getirilmesinin de mümkün olmadığı, dolayısıyla bu hususta Kanun kapsamında yapılacak bir işlem bulunmadığına ve ilgili kişinin ticari elektronik ileti gönderilmek suretiyle kişisel verilerinin hukuka aykırı işlendiği iddiasına ilişkin olarak herhangi bir somut delile rastlanılamadığından bu aşamada Kurum tarafından yapılacak herhangi bir işlem bulunmadığına karar vermiştir.
DÜNYADA GÜNDEM
Avrupa Komisyonu’ndan Yeşil Sertifika Önerisi!
Avrupa Komisyonu, kişilerin Covid-19 durumunu gösteren dijital bir yeşil sertifika oluşturarak Avrupa Birliği içerisinde serbest dolaşımı kolaylaştırmayı teklif ediyor!
Bu öneri, Avrupa Birliği içinde sertifikaların yayınlanması, doğrulanması ve kabulü için uyumlu ve birlikte çalışılabilir bir Avrupa çerçevesi oluşturmayı amaçlamaktadır.
Detaylı bilgi için tıklayınız.
Ülke Çapında Uygulanan Yeni Kameralar, Sürücülerin Konumuna, Hareketine ve Biyometrik Verilerine Erişmek İçin Yapay Zekâ Kullanıyor!
Ülke çapındaki Amazon teslimat sürücüleri, şoförlerin konumuna, hareketine ve biyometrik verilerine (araç içi kameralar ile) erişmek için yapay zeka destekli kameraları kullanma izni veren bir “biyometrik onay” formu imzalamak zorunda. Üstelik şirket şoförleri bu formları imzalamazsa işlerini kaybederler!
Detaylı bilgi için tıklayınız.
Amerikalılar, Yapay Zekanın En Az Güvenilen Teknoloji Olduğunu Düşünüyor!
ZDNet raporlarına göre Hyland tarafından yapılan yakın tarihli bir anket, sosyal teknolojiler ve yapay zekanın Amerikalılar tarafından en az güvenilen teknolojiler olduğunu buldu. Ankete katılan 1000 tüketicinin %20’si sosyal medyaya güvenmiyor, % 32’si sınırlı güvene sahip ve% 41’i AI teknolojilerine güvenmiyor. Ankete katılanların yüzde elli yedisi, yapay zeka teknolojisinin kötüye kullanımının büyük olasılıkla önümüzdeki 10 yıl içinde zarara yol açacağını söyledi.
Detaylı bilgi için tıklayınız.
KİŞİSEL VERİLERE İLİŞKİN CEZALAR
Dünya Genelinde Kişisel Verilere İlişkin Cezalar
ANSPDCP’den Telekom Romania Mobile Communications’a 13.000€ Para Cezası!
Romanya Ulusal Kişisel Veri İşleme Denetleme Kurumu (ANSPDCP); müşterilerin hesabında tutulan kişisel verilere (kimlik, iletişim, müşteri kodu bilgileri) yetkisiz erişim sağlandığı dolayısıyla kişisel verilerin güvenliğini sağlamak için yeterli tedbirleri almadığı gerekçesiyle Telekom Romania Mobile Communications’a 13.000€ para cezası verdi.
AEPD’den ABANCA’ya 3.000€ Para Cezası!
İspanyol Veri Koruma Otoritesi (AEPD); web sitesine gerekli olmayan çerezler yerleştirdiği ve kullanıcılara çerezleri reddet seçeneği sunmadığı için Abanca Corporation Bancaria’ya 3.000€ para cezası verdi.
Garante’den Fastweb’e 4.500.000€ Para Cezası!
İtalyan Veri Koruma Otoritesi (Garante); Fastweb’e, kullanıcılarının rızasını almadan ticari amaçla arama yaptığı ayrıca Haberleşme Operatörleri Sicili’ne (Roc) kayıtlı olmayan sahte numaraları da kullandığı gerekçesiyle 4.500.000€ para cezası verdi.
OFAS’tan Post Bank JSC’ye 3.330€ Para Cezası!
Rusya Federal Antimonopoly Hizmet Ofisi (OFAS); kredi başvurusunda bulunan ilgili kişilerin kişisel verilerinin işlenmesine ve kendilerine reklam mesajları gönderilmesine gösterdiği rızayı belgelemediği ve kredi başvurusu reddedilenlere de sonradan reklam mesajları gönderdiği gerekçeleriyle Post Bank JSC’ye 3.330€ para cezası verdi.
AEPD’dan Orange Espagne’a 90.000€ Para Cezası!
İspanyol Veri Koruma Otoritesi (AEPD); ilgili kişilerin rızası olmaksızın e-posta veya diğer iletişim araçlarıyla ticari ileti gönderdiği gerekçesiyle Orange Espagne’a 90.000€ ceza verdi.
AEPD’dan Banco De Sabadell, SA’ya 5.000€ Para Cezası!
İspanyol Veri Koruma Otoritesi (AEPD); ilgili kişilerin rızası olmaksızın ticari ileti gönderdiği gerekçesiyle Banco De Sabadell, SA’ya 5.000€ para cezası verdi.
AEPD’dan Vodafone İspanya’ya 150.000€ Para Cezası!
İspanyol Veri Koruma Otoritesi (AEPD); ilgili kişinin telefon sözleşmesinin feshi üzerine kişisel verilerinin silinmesini talep ettikten sonra meşru bir amaç olmaksızın verilerini işlemeye devam ettiği gerekçesiyle Vodafone İspanya’ya 150.000€ para cezası verdi.
ANSPDCP’den Tip Top Food Industry’ye 5.000€ Para Cezası!
Ulusal Kişisel Veri işleme Denetleme Kurumu (ANSPDCP); mal ve ürünlerini hırsızlığa karşı korumak amacıyla çalışanların soyunma odalarına ve yemek alanlarına, kamera koyduğu gerekçesiyle Tip Top Food Industry’ye 5.000€ para cezası verdi.
AEPD’den Highcliffe Estates Marbella’ya 8.000€ Para Cezası!
İspanyol Veri Koruma Otoritesi (AEPD); ilgili kişinin fotoğrafını rızası olmadan yayınlayarak GDPR’ın 6. (İşlemenin yasallığı) maddesine aykırı hareket ettiği gerekçesiyle Highcliffe Estates Marbella’ya 8.000€ para cezası verdi.
PDPC’den Tripartite Alliance’a 18.150€ Para Cezası!
Kişisel Verileri Koruma Komisyonu (PDPC); yaklaşık 20.000 kişinin verisine yetkisiz erişimi önlemek için yeterli teknik güvenlik tedbirlerini almadığı gerekçesiyle Tripartite Alliance’a 18.150€ para cezası verdi.
ANSPDCP’den Lugera Makler Broker’a 1.500€ Para Cezası!
Romanya Ulusal Kişisel Veri işleme Denetleme Kurumu (ANSPDCP); veri işleyen sıfatıyla hareket eden Lugera & Makler Broker’a, kredi derecelendirme faaliyetleriyle ilgili belgeleri veri sorumlusu Raiffeisen Bank SA’ya iletmeden silerek ve veri sorumlusunun alması gereken teknik ve idari tedbirleri almasına engel olarak GDPR’ın 29.(Veri sorumlusu yetkisi altında işleme) ve 32. (işleme güvenliği) maddelerine aykırı hareket ettiği gerekçeleriyle 1.500€ para cezası verdi.