KVKK Bülteni 22. Sayı



KURUM KARARLARI VE DUYURULAR


Kişisel Verileri Koruma Kurulu’nun, Araç Kiralama Sektöründe Uygulanan “Kara Liste” Uygulamalarına İlişkin İlke Kararı Resmi Gazete’de Yayınlandı

20 Ocak 2022 tarihinde yayınlanan ilke karar, Kurum’a intikal eden ve Araç Kiralama Sektöründe uygulanan “Kara Liste” uygulamasına ilişkin olarak kullanılan yazılım,program ve uygulamalar özelinde yapılan ihbarlar üzerine yayınlanmıştır. Kararda özellikle üzerinde durulan husus söz konusu durumun Kişisel Verileri Koruma Kanunu’nun (KVKK) 5. Maddesinin ikinci fıkrasının (c) bendinde yer alan “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve Kiralama firmalarının Kiralık Araç Bildirim Sistemi (KABİS) üzerinden 1774 sayılı Kimlik Bildirme Kanunu uyarınca zorunlu olarak yaptıkları bildirimden ayrık tutulması gerektiği hususudur. Söz konusu “Kara Liste” uygulaması kişilerin bilgilerinin yazılımları sağlayan şirketler tarafından kiralama şirketlerinin erişimi olmaksızın diğer şirketlerle paylaşılabilmesine ve ilgili kişilerin hak ve menfaatleri aleyhine bir durum oluşmasına neden olmaktadır. Bu nedenle Kurul, Kanun’un 5. Maddesindeki işleme şartlarına ve 8. Maddesindeki aktarıma ilişkin hususlara aykırı nitelikteki uygulamalar karşısında her ne kadar yazılımlar ile yapılan aktarımlara ilişkin erişim yetkileri olmasa da kiralama şirketlerinin de yazılım şirketleri ile birlikte ortak veri sorumlusu olarak değerlendirileceğini, konuya ilişkin olarak 12. Maddede yer alan gerekli tedbir ve önlemlerin şirketlerce alınması gerektiğini aksi halde Kanun’un 18.maddesine göre veri sorumluları hakkında işlem tesis edileceğini belirtmiştir. [1]


Avrupa Veri Koruma Kurulu İlgili Kişilerin Haklarına İlişkin Yeni Bir Rehberi Kamuoyuna Sundu

Söz konusu rehber özellikle Avrupa Veri Koruma Tüzüğü (GDPR)’nde belirtilen “Erişim Hakkı” (Right of Access) üzerine yoğunlaşmakta. Rehberin içeriğinde, ilgili kişilerin erişim haklarının kapsamı, taleplerinin veri sorumluları tarafından değerlendirilmesi, bu hakkın hangi durumlarda ne kadar kısıtlanabileceği gibi önemli hususlara değinilmekte. Kamuoyuna sunulan rehber, Kurul’un web sitesinde yayınlanmakla beraber, 11 Mart 2022 tarihine kadar yorumlara açık olacaktır. Rehberi daha detaylı incelemek isteyen okuyucularımız, kaynakça kısmından ilgili linke erişim sağlayabileceklerdir. [2]


28 Ocak Veri Koruma Günü Etkinliği

Kurumun Konferans salonunda gerçekleştirilen “28 Ocak Veri Koruma Günü Etkinliği”’nde yapılan konferans oturumlarında kişisel verilerin korunması, yapay zeka, blockzinciri, fikri mülkiyet alanında kişisel verilerin işlenmesi gibi önemli konu başlıkları mercek altına alındı.

Kurum’un sitesinde ve YouTube kanalında yayınlanan konferanslarda Başkanlığını Prof. Dr. Hasan Tahsin FENDOĞLU’nun yaptığı “Türk Hukukunda Kişisel Verilerin Korunması'' başlıklı ilk oturumda;

Ankara Üniversitesi'nden Prof. Dr. Devrim GÜNGÖR ''Kişisel Verilerin Ceza Hukukunda Korunması'', Ankara Üniversitesi'nden Prof. Dr. Süleyman YILMAZ ''Özel Nitelikli Kişisel Veriler'', Ankara Üniversitesi'nden Prof. Dr. Arzu OĞUZ ''Fikri Mülkiyet Alanında Kişisel Verilerin İşlenmesi'' konularında bilgi paylaşımında bulundular. Kurumumuz Başkanlık Müşavirlerden Tuğba YİĞİT ise ''Çalışma Hayatında Kişisel Verilerin İşlenmesi ve Genel İlkeler'' konusunda bilgiler paylaştı.

İkinci oturumda ise Kişisel Verileri Koruma Kurulu Üyesi Tamer AKSOY’un yönettiği ''Yapay Zekâ Alanında Kişisel Verilerin Korunması'' başlığı yer aldı.

Bilkent Üniversitesi'nden Doç. Dr. Hüseyin Can AKSOY ''Yapay Zekâ ve Algoritmik Karar Verme'', TOBB Etü Üniversitesi'nden Doç. Dr. P. Elif EKMEKCİ ''Yapay Zekâ ve Biyoetik'', Bilkent Üniversitesi'nden Doç. Dr. Pınar ÇAĞLAYAN AKSOY ''Kişisel Verilerin Korunmasında Yapay Zekâ ve Blokzinciri Dönemi'' konularında bilgi paylaşımında bulundular. Kurumumuz Veri Yönetimi Dairesi Başkan Yardımcısı Cennet ALAS ŞEKERBAY ise ''Yapay Zekâ Teknolojilerinde Mahremiyetin Korunması'' konusunda bilgiler paylaştı….” [3]


KVKK’nın TFF’nin Yurtdışına Veri Aktarımına İlişkin Taahütname Başvurusuna İlişkin Duyurusu Yayınlandı

Kişisel Verileri Koruma Kurumu’nun (KVKK) 18 Ocak 2022 tarihinde yayınladığı duyuruya göre Kurum, veri sorumlusu olan Türkiye Futbol Federasyonu tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusunu 6698 s. Kişisel Verilerin Korunması Kanunu kapsamında değerlendirdi ve aktarıma izin verdi. [4]


GÜNCEL HABERLER



Fransız Mahkemesi, Çerez Politikasıyla Bağlantılı İhlaller Nedeniyle Google’a 100 Milyon Euro Para Cezası Verdi.

Reuters’ın haberine göre Fransa yüksek mahkemesi, Google’a çerez politikasıyla bağlantılı ihlaller nedeniyle uygulanan para cezasını onayladığını açıkladı. Ayrıca Mahkeme yaptığı açıklamada, Fransa Veri Koruma Otoritesi (CNIL) tarafından verilen para cezasını orantılı bulduğu için Google’ın yaptırımın iptali yönündeki talebini reddettiğini belirtti. [5]



Birleşik Krallık Kökenli Yapay Zekâ Girişimi Olan Pimloc, Tohum Aşamasında 7.5 Milyon $ Fon Topladı.

Videoları anonimleştirmek, yüz ve plakaların bulanıklaştırılmasını otomatize etmek vb. hizmetler sunan bir yapay zekâ girişimi olan Pimloc’ın yetkilileri, alınan yatırımların işin Avrupa ve ABD’de büyütülmesi, yeni veri koruma mevzuatlarının takip edilmesi ve artan biyometrik veri kullanımlarının getireceği mahremiyet riskleri hakkında kamuoyunun izlenmesi için kullanılacağını belirtti. [6]


Dominos Tarafından Yapılan Veri İhlali Bildirimine Göre İhlalden 180.000 Kişi Etkilendi

Veri sorumlusunun yapmış olduğu bildirim içerisinde kendisine ulaşan bir e-postada 3 müşterisine ve 1 eski çalışanına ait verilerin yer aldığı belirtilmiş, ihlalin boyutunun 180.000 kişi olduğu bilgisine yer verilmiştir. İhlalden etkilenen kişi grubunun müşteriler olduğu, kişilerin ad-soyad, cep telefonu numarası, e-posta adresi, müşteri ID bilgilerinin ihlalden etkilendiği veri sorumlusu Dominos tarafından belirtilmiştir. Eğer şirket müşterisi iseniz, konuya ilişkin olarak dominoskvk@dominospizza.com.tr adresinden bilgi alabilirsiniz. [7]



Lizbon Konseyi Protestocularla İlgili Detayları Yabancı Elçilerle Paylaştığı İçin Para Cezasına Çarptırıldı

Lizbon Belediyesi gözcülük yaptıkları protestocularla ilgili detayları yabancı elçilere ilettikleri için 1.4 Milyon $ para cezasına çarptırıldı. Söz konusu detayların eski belediye başkanı Fernando Medina’nın ofisi tarafından Rusya’nın da aralarında yer aldığı birçok ülkenin büyükelçilikleriyle paylaşıldığı açıklandı. Belediye başkanının ofisinin 2018-2021 yılları arasında göstericilerin kişisel verileri ile ilgili 225 ihlal gerçekleştirildiği belirtildi. [8]


KAYNAKÇA

[1] https://www.resmigazete.gov.tr/eskiler/2022/01/20220120-10.pdf

[2] https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en

https://iapp.org/news/a/edpb-publishes-right-of-access-guidance-opens-consultation/

[3] https://www.kvkk.gov.tr/Icerik/7164/28-Ocak-Veri-Koruma-Gunu

[4] https://www.kvkk.gov.tr/Icerik/7161/Taahhutname-Basvurusu-Hakkinda-Duyuru

[5] https://www.reuters.com/technology/french-court-upholds-100-mln-euro-fine-against-google-breaches-linked-cookie-2022-01-28/

[6] https://iapp.org/news/a/uk-ai-startup-pimloc-raises-7-5m-in-seed-funding/

[7] https://webrazzi.com/2022/01/28/domino-s-pizza-da-yasanan-kvkk-ihlali-180-bin-kisiyi-etkiledi/

https://www.kvkk.gov.tr/Icerik/7167/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Pizza-Restaurantlari-AS-Dominos-Pizza-

[8] https://www.bbc.com/news/world-europe-60003308


Birim: Bilgi Teknolojileri & Fikri Mülkiyet Ekibi