KVKK Bülteni - 19. Sayı


İÇİNDEKİLER

I. Kurum Kararları ve Duyurular

  1. Çerez Uygulamaları Hakkında Rehber Yayınlandı

  2. "Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı" Hazırlandı

  3. Google Analytics Yine Tartışmaların Odağında; İtalya Veri Koruma Otoritesi Uyardı

II. Güncel Haberler

  1. Çevrimiçi Tıbbi/Hukuki Yardım Uygulamaları Yararlı mı Yoksa Tehlikeli mi?

  2. ABD Senatörleri Akıl Sağlığı Uygulaması Hizmeti Veren Şirketlere Sorularını Yönelttiler

  3. Telefonlara Gönderilen Toplu Mesajlara Dikkat!

  4. Amerikan Menşeli Flagstar Bankası'nda Veri İhlali

I. Kurum Kararları ve Duyurular


1. Çerez Uygulamaları Hakkında Rehber Yayınlandı

Kişisel Verileri Koruma Kurumu tarafından yayınlanan rehberin temel amacının, uygulayıcı veri sorumluları için kolay takip edilebilir, yol gösterici nitelikte ve pratik bir kaynak hazırlamak olduğu belirtildi.

Rehber içerisinde, çerezlerle ilgili genel tanımlamalar ile birlikte aydınlatma ve hukuka uygun açık rıza alınmasıyla ilgili hususlar ve muhtemel senaryolar yer almakta. [1]

2. "Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı" Hazırlandı

Kurulun 18.05.2022 tarih ve 2022/514 sayılı kararıyla Rehber Taslağı ile ilgili olarak 16.07.2022 tarihine kadar kamuoyu görüşleri alınacak olup ilgili görüşler yazıyla Kuruma veya sadakat@kvkk.gov.tr adresine gönderilebilecektir.

Özellikle büyük çaplı şirketler başta olmak üzere farklı sektörlerde müşteri bağlılığını arttırmaya yönelik faaliyetler kapsamında çeşitli sadakat programları uygulanmaktadır. Müşterilerin uzun süreli olarak şirket hizmetlerinden yararlanmasına yönelik olan bu uygulamalar, müşterilerin (ilgili kişilerin) kişisel verilerinin veri sorumlusu şirketler tarafından toplanması gerekliliğini de beraberinde getirmektedir.

Yayınlanan Rehberin taslak metninin de temel amacı bu noktada mevzuata uyumun, veri işleme faaliyetleri kapsamında yerine getirilmesi gereken yükümlülüklerin sadeleştirilerek ilgililer tarafından anlaşılmasını sağlamak.

Sözünü ettiğimiz rehbere kaynakça bölümümüzden ulaşarak daha detaylı şekilde inceleyebilirsiniz. [2] [3]

3. Google Analytics Yine Tartışmaların Odağında; İtalya Veri Koruma Otoritesi Uyardı

Yerel bir internet yayıncısının Google Analytics araçlarını yoğun bir şekilde kullanması üzerine yapılan değerlendirmeler sonucunda Avusturya ve Fransa’nın ardından İtalya’da Google Analytics’in GDPR’a (Avrupa Birliği Genel Veri Koruma Tüzüğü) uyumlu olmadığını belirtti.

GDPR’a aykırılık oluşturan unsurlardan en temeli Avrupa Birliği içerisinde Google Analytics aracılığıyla toplanan ziyaret kayıtları, cihazların IP adresleri, dil tercihleri vb. verilerin yeterli korumaya sahip olmayan ülke statüsünde bulunan Amerika Birleşik Devletleri’ne (ABD) aktarılması olarak görülmekte.

Bu noktada İtalya veri koruma otoritesi konuyla ilişkili veri sorumlularına işleme faaliyetlerini GDPR’a uyumlu hale getirmeleri için 90 günlük bir süre verdi. Süre sonunda otorite tarafından gerekli denetimlerin yapılacağı duyuruldu. [4]

II. Güncel Haberler

4. Çevrimiçi Tıbbi/Hukuki Yardım Uygulamaları Yararlı mı Yoksa Tehlikeli mi?

Tartışma konusu soru, temelde hastalara çevrimiçi akıl sağlıkları ile ilgili tedavi yöntemleri sunan Crisis Text Line adlı uygulamanın faaliyetleri üzerine oluştu. İlgili uygulama kendisini ücretsiz (non-profit) olarak tanıtarak bu şekilde hizmet vermesine rağmen arka planda kâr amacı güden yapay zekâ uygulamalarını, anonim hale getirdiği veriler ile geliştirmekte. Kullanıcıların bu bilgiye doğrudan haiz olmaması hizmetlerin şeffaflığı hakkında akıllarda soru işareti bırakmakta.

Öte yandan benzer şekilde hizmet veren Upsolve uygulaması da aynı hizmeti hukuk alanında vermekte. Amerika’da faaliyet gösteren bu şirketler düzenlemelerin yeterli olmadığı gri bir alanda faaliyet göstermekteyken yetkililerin bu konuda yeterli aksiyonları almadıkları gözlenmekte. Hem veri güvenliği hem de hukuki ve tıbbi tavsiyelerin bu şekilde alanında uzman olmayan kişilerce verilmesinin yaratmış olduğu tehlike düşünüldüğünde durumun ciddiyeti daha da ortaya çıkacaktır.

Bir diğer önemli nokta ise bu tavsiyeler sonucunda kişilerin yaşayacağı herhangi bir zararda sorumluluğun kime ait olacağı sorusu. Bu soru hakkında da yeterli düzenlemelerin hali hazırda bulunmadığını gözlemlemekteyiz. Sektör özelinde yalnızca konuyla ilgili yavaş yavaş aksiyon almaya başlayan Amerika’nın değil tüm ülkelerin ilgili kişilerin güvenliği ile ilgili olarak gerekli, yeterli ve net düzenlemeler için çalışmaları hızlandırmaları gerektiği kanaatindeyiz. [5]

5. ABD Senatörleri Akıl Sağlığı Uygulaması Hizmeti Veren Şirketlere Sorularını Yönelttiler

Demokrat senatörlerden Elizabeth Warren, Cory Booker ve Ron Wyden akıl sağlığı uygulaması hizmeti veren BetterHelp ve Talkspace adlı şirket yöneticilerine, özellikle kişisel verilerin güvenliği ile ilgili endişelerini ifade eden sorular yönelttiler.

Senatörlerin soruları arasında ilgili kişilerin hangi kişisel verilerinin reklam ve sosyal medya şirketleri ile paylaşıldığı, verilerin nasıl anonim hale getirildiği ve ilgili kişilerin kişisel verileri üzerinde ne kadar kontrol sahibi olduklarına yönelik hususlar bulunmakta.

Şirketlerden henüz bir cevap gelmezken sorulara ilişkin olarak ilerleyen süreçlerde hangi adımların atılacağı merakla beklenmekte. [6]

6. Telefonlara Gönderilen Toplu Mesajlara Dikkat!

Hindistan basınına yansıyan ve geçen yıl Kasım ve Aralık aylarında 500’den fazla kişinin zarar görmesine neden olan habere konu siber suçluların bu alışılagelmiş “phishing” (oltalama) yöntemine karşı kullanıcıların oldukça dikkatli olması gerekmekte.

Hindistan kamu bankası yetkilisinin yapmış olduğu açıklamalara göre siber suçlular tarafından kişilere “Müşterinizi Tanıyın” (KYC) bilgilerini doldurmaları için sahte linkler gönderilmekte ve ilgili bankaların sahte web sayfalarına yönlendirilerek kişisel veriler toplu bir şekilde edinilmekte.

Mağdurların söz konusu işlemlerden sonra banka hesapları kolay bir şekilde boşaltılmakta. Delhi Polisi Mart ayında bu suçu işleyen 23 kişinin tutuklandığını bildirse de kaynaklara göre tehlike devam etmekte.

Ülkemizde de benzer olaylar yaşanmakla birlikte hem devlet kanallarıyla hem de bankalar eliyle gerekli uyarılar sürekli bir şekilde yapılmaktadır. Bu noktada kullanıcıların da konuya ilişkin bilinç sahibi olmaları dolandırıcılık vakıalarının azaltılması adına hayati önem taşımakta. [7]

7. Telefonlara Gönderilen Toplu Mesajlara Dikkat!

Yeni açıklanan veri ihlali bildirimine göre yetkisiz erişim nedeniyle 1.5 milyon müşterinin verisi açığa çıktı. İlgili ihlalin Aralık 2021’de gerçekleştiği banka yetkilileri tarafından belirtilirken gerekli tedbirlerin alındığı ve incelemelerin yapıldığı, verilerin sızıntıya konu olmadığına inandıkları belirtildi. [8]



KAYNAKÇA

[1] https://www.kvkk.gov.tr/Icerik/7353/Cerez-Uygulamalari-Hakkinda-Rehber

[2] https://www.kvkk.gov.tr/Icerik/7349/-Sadakat-Programlarinin-Kisisel-Verilerin-Korunmasi-Mevzuati-Kapsaminda-Incelenmesine-Iliskin-Rehber-Taslagi-Hakkinda-Kamuoyu-Duyurusu

[3] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/6f32ec9e-dacd-45b3-80c8-06bd7a7cc8f6.pdf

[4] https://thehackernews.com/2022/06/italy-data-protection-authority-warns.html

[5] https://www.wired.com/story/consumer-protections-data-services-care/

[6] https://iapp.org/news/a/us-senators-issue-letter-to-executives-of-mental-health-apps/

[7] https://indianexpress.com/article/cities/delhi/new-headache-for-cops-cyber-criminals-buying-personal-data-in-bulk-7991690/

[8] https://iapp.org/news/a/data-breach-impacts-1-5m-customers-of-u-s-bank/