KVKK Bülteni 21. Sayı

Güncelleme tarihi: 1 Şub




KURUM KARARLARI VE DUYURULAR


Kişisel Verileri Koruma Kurumu’nun Veri Koruma Görevlisi Belgelendirme Programı’na İlişkin Kamuoyu Duyurusu Yayınlandı



Kişisel Verileri Koruma Kurumu 07.12.2021 tarihli duyurusunda Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ kapsamında yapılacak olan sertifikasyon faaliyetine ilişkin olarak hazırlamış olduğu “Veri Koruma Görevlisi Belgelendirme Programı” nı kamuoyu ile paylaştı. Duyurunun devamında söz konusu programın 25.11.2021 tarihli ve 2021/1178 sayılı Kişisel Verileri Koruma Kurulu Kararı ile yürürlüğe konulacağı belirtildi. Programın içeriğinde “Veri Koruma Görevlisi” olabilmek için gerekli olan şartlar, yapılacak ilgili sınavın formatı ve iş tanımı bulunmakta. [1]


T.C. İstanbul Kültür Üniversitesi Veri İhlal Bildiriminde Bulundu



Kişisel Verileri Koruma Kurumu’nun 02.12.2021 tarih ve 2021/1231 sayılı kararı ile ihlal bildirimini yaptığı ilana göre söz konusu ihlalden etkilenen kişi sayısının 15.967 kişi olduğu belirtildi. İhlale sebep olan olayın, üniversite çalışanının kullandığı bilgisayara ait şifrenin ele geçirilmesi olduğu belirtildi. İhlale konu olan kişi grubunun öğrencilerden oluşurken ve etkilenen kişisel verilerin öğrencilerin “T.C. kimlik numarası”, “doğum tarihi”, “uyruk”, “cinsiyet”, “telefon numarası”, “kurum e-posta adresleri”, “ödeme durumu”, “öğrenci adı soyadı”, “öğrenci danışman adı soyadı”, “YÖK burs oranı bilgileri” yer almakta. [2]


Hollanda Veri Koruma Otoritesi Hollanda Vergi İdaresi’ne GDPR (General Data Protection Regulation) Hükümlerini İhlal Ettiği İçin 2.75 Milyon Euro Ceza Verdi



Vergi idaresinin en önemli görevlerinden biri de organize dolandırıcılık ihtimallerinin önüne geçmek ve risk tespiti yapmaktır. Ancak Hollanda Vergi İdaresi’nin özellikle çocuk bakım yardım başvurularını değerlendirirken risk tespiti için kullanmış olduğu bilgisayar programının (Fraud Signaling Facility), kişileri risk gruplarına ayırırken çifte vatandaşlığı bulunan kişileri yüksek risk grubu olarak değerlendirdiği tespit edildi. Hollanda Veri Koruma Otoritesi, kişilerin bu şekilde gruplandırılarak kara listeye alınmasını GDPR hükümlerine aykırı olarak veri işlenmesi olarak tanımladı.

Bunun yanında söz konusu uygulamanın kişiler arasında ayrımcılık yarattığını, söz konusu verilerin işlenmesinin işleme amacıyla bağdaşmadığını kararına ekledi. Olayda program tarafından bu şekilde gruplanan kişi sayısının 1.4 milyon olduğu bilinmekte. [3]


Kişisel Verileri Koruma Kurumu Alışveriş Sırasında SMS ile Doğrulama Kodu Gönderilmesi Yoluyla Kişisel Verilerin İşlenmesine Dair Kamuoyu Duyurusu Yayınladı



Kişisel Verileri Koruma Kurumu tarafından 17 Aralık 2021 tarihinde yayınlanan duyuruda, alışveriş sonrası kasa işlemleri sırasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerin tamamlanması ya da bilgilerin güncellenmesi için gerekli olduğu gerekçesiyle bahsi geçen kodun kasa görevlisine iletilmesinin istendiği ancak işlem sonrasında ilgili kişilere mağaza faaliyetleri ile ilgili ticari elektronik iletilerin gönderildiği iddialarının olduğu belirtilmiştir. Kişisel Verileri Koruma Kurulu tarafından yapılan incelemeler sonucu iddiaların haklı olduğu belirlenmiştir. İnceleme neticesinde;

· Telefonlara gönderilecek SMS’lerin amacının ne olduğu ve SMS aracılığıyla iletilen kodun verilmesi halinde ne gibi sonuçlar doğacağının ilgili kişilere açık ve anlaşılır biçimde aktarılmasının, aydınlatma yükümlülüğünün yerine getirilebilmesi adına da SMS içeriklerinde de buna dair gerekli kanalların sağlanmasının,

· Üyelik sözleşmesi, kişisel verileri işleme izni, ticari elektronik ileti onayı vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesinin, işleme faaliyetlerine yönelik seçenek sunulması suretiyle ayrı ayrı açık rıza alınmasının,

· Veri sorumlularının açık rıza alınması ve aydınlatma yükümlülüğü işlemlerinin birlikte gerçekleşmesine neden olabilecek durumlardan kaçınılmasının,

· Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın tüm unsurları kapsamasının

önem arz ettiği duyurulmuştur. [4]


Kişisel Verileri Koruma Kurumu İş Vaadi Konulu TCK Kapsamındaki Kişisel Veri İhlallerine İlişkin Kamuoyu Duyurusu Yayınladı




Kişisel Verileri Koruma Kurumu’nun 7 Aralık 2021 tarihinde yayınladığı duyuruda, ilgili kişilerin muhtelif kanallardan ve sosyal medya üzerinden evde paketleme vb. konulu iş ilanlarına başvurdukları ve bu başvurular neticesinde kendilerinden T.C. Kimlik Kartı fotoğraflarının ve belirtilen IBAN’a para gönderilmesi ve hemen ardından para iadesi işleminin yapılmasının talep edildiği, akabinde ise iş vaadinde bulunan işletmelere ya da kişilere ulaşılamadığı, dolayısıyla kimlik bilgilerinin dolandırıcıların eline geçtiği yönünde Kurum’a çok sayıda ihbar ve şikayet intikal ettiği bilgisi yer almaktadır.

Kurum, konuya dair ihbar ve şikayetler suç unsuru barındırabileceğinden ve 6698 s. Kişisel Verilerin Korunması Kanunu kapsamında Kurum’un yargı mercilerinin görevine giren konularla ilgili dilekçeleri inceleyemeyeceği hükme bağlandığından ilgili kişilerin konuya ilişkin gerekli hukuksal işlemlerin temini için yargı yoluna başvurmaları gerektiğini belirtmiştir. Bunun yanı sıra Kurum’ a gelen başvurularda artış meydana geldiğinden ve vatandaşlıkların farkındalık düzeyinin arttırılmasını teminen söz konusu duyurunun yapılmasının gerekli görüldüğü belirtilmiştir. [5]


GÜNCEL HABERLER


Çin Hükümeti Alibaba ile Yapmış Olduğu Siber Güvenlik Anlaşmasını Askıya Aldı



Çin’in izlemiş olduğu yeni veri koruma politikalarına ve yeni yürürlüğe giren bir yasaya göre Çinli şirketler herhangi bir veri güvenliği ihlali söz konusu olduğunda öncelikli olarak hükümeti bilgilendireceklerdir. Elde edilen son bilgilere göre “Log4j” (aka Log4Shell) isimli bir güvenlik açığını Alibaba olması gereken süreden daha uzun bir sürede bildirdi. Reuters’ın haberine göre Çin internet düzenleyicisi haberi doğrudan Alibaba’dan değil, üçüncü bir kişiden edindi. Hükümetin söz konusu olay nedeniyle Alibaba’nın kurucusu olduğu Alibaba Cloud sistemine ilişkin anlaşmayı askıya aldığı ve yeniden değerlendirmeye alacağı bilinmekte. Ayrıca Çin hükümeti Çinli şirketlerin bulut hizmetlerini özel kuruluşlar yerine devlet destekli sistemlerden almaları için teşvikte bulundu. [6]


Yüz Tanıma Yazılımı Şirketi İhlal Nedeniyle 17 Milyon Sterlin Ceza ile Karşı Karşıya




İngiltere’de on milyardan fazla yüz fotoğrafını içeren bir veri tabanına sahip olduğu düşünülen Avustralyalı yazılım şirketi, kişisel verilerle ilgili ihlal gerçekleştirdiği gerekçesiyle milyonlarca sterlin para cezasıyla karşı karşıya kaldı. Bilgi Komisyonu Ofisi (ICO), polis tarafından yüz tanımı yazılımı kullanılan Clearview AI hakkında önemli endişeleri olduğunu belirterek şirkete İngiltere’de veri işleme işlemine son vermesini ve sahip olduğu her şeyi silmesini istediğini söyledi. Buna uymaması halinde ise hakkında on yedi milyon sterline kadar para cezası verilebileceğine dikkat çekti.

Clearview ise iddiaların “hem içerik hem de yasal olarak” yanlış olduğunu ve yanlış anlaşıldıklarını ifade ederek itiraz etmeyi düşündüklerini belirtti. [7]


Ubisoft’un Bilgi Teknolojileri (BT) Altyapısına Yapılan Siber Saldırılar Veri İhlaline Neden Oluyor




Ubisoft Entertainment, popüler oyun serisi Just Dance’i hedef alan ve şirketin BT altyapısına yönelik siber saldırıların kullanıcıların bilgilerini tehlikeye attığını duyurdu. Ubisoft’un açıklamasında saldırıya hızla müdahale gerçekleştirilmesine rağmen yine de oyuncuların kişisel verilerinin ifşa edildiği bilgisi yer aldı. Ubisoft ayrıca ihlalden etkilenen tüm kullanıcıları e-posta yoluyla bilgilendirileceğini ve böyle bir olayın gelecekte tekrarlanması adına proaktif adımlar atacağını da duyurdu. [8]






KAYNAKÇA

[1] https://www.kvkk.gov.tr/Icerik/7093/Kamuoyu-Duyurusu-Sertifikasyon-

[2] https://www.kvkk.gov.tr/Icerik/7089/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-T-C-Istanbul-Kultur-Universitesi

[3] https://www.compliancejunction.com/dutch-tax-administration-slapped-with-e2-75-million-gdpr-violation-

[4] https://www.kvkk.gov.tr/Icerik/7104/MAGAZALARDA-ALISVERIS-SIRASINDA-ILGILI-KISILERE-SMS-ILE-DOGRULAMA-KODU-GONDERILMESI-SURETIYLE-KISISEL-VERILERIN-ISLENMESINE-ILISKIN-KAMUOYU-DUYURUSU

[5] https://www.kvkk.gov.tr/Icerik/7095/IS-VAADI-KONULU-TCK-KAPSAMINDAKI-KISISEL-VERI-IHLALLERINE-ILISKIN-KAMUOYU-DUYURUSU

[6] https://cybernews.com/news/log4j-saga-china-suspends-deal-with-alibaba-cloud-over-log4j-reporting/

[7] https://tr.sputniknews.com/20211201/yuz-tanima-yazilim-firmasina-veri-ihlali-nedeniyle-17-milyon-sterlin-ceza-1051334245.html

[8] https://cybernews.com/news/cyberattack-on-ubisofts-it-infrastructure-causes-a-data-breach/