KVKK BÜLTENİ 23. Sayı

Güncelleme tarihi: 25 Nis







KURUM KARARLARI VE DUYURULAR


Kişisel Verileri Koruma Kurumu’nun Kullanıcıların Güvenliğine ilişkin Veri Sorumlularınca Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu Yayınlandı

Kişisel Verileri Koruma Kurumu tarafından yayınlanan 15.02.2022 tarihli kamuoyu duyurusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 12. maddesine atıf yapılarak veri sorumlularının uygun güvenlik düzeyini temin etmek adına gerekli her türlü teknik ve idari tedbiri almak zorunda olduğuna dikkat çekilmiştir. Özellikle finans, e-ticaret ve sosyal medya platformları özelinde son dönemde yaşanan veri ihlal bildirimleri, kişisel verilerin 3. kişilerce büyük veri setleri halinde satışa sunulması ve hukuka aykırı şekilde paylaşıldığı durumlar göz önünde bulundurularak söz konusu ihlallere ilişkin riskleri minimize etmek adına Kurum, veri sorumlularının alması gereken tedbirlere ilişkin tavsiyelerini bu duyuruda sıralamıştır. Söz konusu tavsiyelerden birkaçı şu şekilde sıralanabilir; “Çift kademeli kimlik doğrulama (two-factor authentication) sistemlerini kurmaları ve kullanıcılarına üyelik başvurusu aşamasından itibaren alternatif güvenlik önlemi olarak sunmaları, IP (Internet Protocol Address) adresinden yapılacak başarısız giriş denemesi sayısının sınırlandırılması, veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması”. İlgili tedbirlerin daha detaylı incelemesini yapmak isteyen siz değerli okuyucularımız için kaynakça bölümünde bulunan bağlantıyı kullanmanız yeterli olacaktır. [1]



Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında Düzenlenen İdari Para Cezası Miktarlarının 2022 Yılı İçin Tespit ve İlan Edilen Yeniden Değerleme Oranında Arttırılmış Tutarları Yayınlandı

Kişisel Verileri Koruma Kurumu’nun 17.02.2022 tarihinde internet sitesi aracılığıyla tablo şeklinde yayınladığı 2022 yılına ait yeniden değerleme oranlarına göre (%36,20) arttırılırmış idari para cezaları şu şekildedir;

· KVKK’nin 10. maddesinde yer alan aydınlatma yükümlülüğünü yerine getirmeme halinde 13,391 liradan 267.883 liraya kadar,

· KVKK’nin 12. maddesinde yer alan veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 40.179 liradan 2.678.863 liraya kadar,

· KVKK’nin 15. Maddesinde düzenlendiği üzere kurul kararlarının yerine getirilmemesi halinde 66.965 liradan 2.678.863 liraya kadar,

· KVKK’nin Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi halinde 53.572 liradan 2.678.863 lira kadar.[2]



Avusturalya Bilgi Komisyonu Ofisi, 2021 Yılının İkinci Yarısında Veri İhlallerinde %6 Artış Görüldüğünü Açıkladı

Yapılan açıklamaya göre 2021 yılının ikinci yarısında Avusturalya genelinde 464 veri ihlali yaşandı. Bu sayı bir önceki periyoda göre %6 daha fazla. Komisyon üyesi Angelene Falk’a göre; söz konusu ihlallerin önüne geçmek için ortaya koydukları plana uygun olarak kurumların hesap verebilirlik adına gerekli önlemleri almaları, müşterilerine ilişkin güven inşa etmek adına gerekli tedbirleri almaları ve veri ihlalleri yaşandığında bireyleri bunlara karşı yaptıkları yanıtların merkezine koymaları gerekmekte.[3]


GÜNCEL HABERLER

TikTok 6 üyeden oluşan Güvenlik Danışma Konseyi’ni Kurduğunu Duyurdu

Konuya ilişkin olarak TBMM Dijital Mecralar Komisyonu’na gönderilen raporda yer aldığı üzere TikTok, söz konusu Konsey’in kurulmasıyla beraber “güvenlik”, “çeşitlilik”, “kapsayıcılık” ve “özgünlüğün” kendileri için oldukça büyük önem arz ettiğini ve Konsey’in bu amaç için en uygun güvenlik önlemlerini ve politikaları uygulamaları için kurulduğunu belirtti. İstanbul Özyeğin Üniversitesi'nden Doç. Dr. Akın Ünver'in de yer aldığı alanlarında uzman 6 üyeden oluşan Konsey, konuya ilişkin son gelişmeler ve bölgede güvenliğe ilişkin stratejiler geliştirme konularında tespit ve tavsiye mercii konumunda olacak. [4]



İsviçre Bankası Credit Suisse’in 30.000 Müşterisine Ait Verileri Basına Sızdı

Verileri sızdırılan müşteriler arasında devlet başkanları ve ünlü iş insanları bulunmakta. Haber kaynaklarına göre; söz konusu müşterilerden bazıları Ürdün Kralı Abdullah, Pakistan istihbarat şefi General Ahater Abdurrahman’ın oğulları ve İtalya’da yer alan en büyük suç örgütlerinden biri olan “Ndrangheta”’ya yakınlığıyla bilinen Antonio Velardo. The New York Times’ın yapmış olduğu haber serisine göre İsviçre bankasının müşterilerinin yüksek gizliliğe sahip olmasından faydalanan pek çok insan kaçakçılığı, rüşvet, kara para aklama suçlusu bu veri sızıntısı ile açığa çıkmış oldu. Her ne kadar Credit Suisse’in bu kişilerle ortaklık yaptığı iddiaları söz konusu haberlerde yer alsa da henüz kesinlik kazanmış durumda değil. [5] [6]


İngiltere Bilgi Komisyonu Ofisi (ICO), Kaliforniya’nın Çocukların Verilerinin Korunması Adına Ortaya Koyduğu Yeni Yasa Tasarısı Planını Duyurdu

ICO’nun konuya ilişkin yapmış olduğu açıklamalara göre; Kaliforniya’nın ICO’ nun Çocuk Yasası’na uyumluluk adına yapmış olduğu planlamalar, Birleşik Krallık’ın konuya ilişkin olarak dünyanın geri kalanına da örnek teşkil ettiğini göstermekte. Çocukların bir yandan dijital dünyanın faydalarından yararlanırken öte yandan yetişkinlerden çok daha hassas oldukları tehditlere karşı güvenliklerinin arttırılmasını sağlayan düzenleme veri güvenliğinin geleceği adına olumlu bir yönde hareket edildiğini göstermekte. [7]



Avrupa Birliği Veri Koruma Gözlemcisi’nin (EDPS) Çağrısı; “Pegasus Casus Yazılımları Yasaklanmalı!”

“NSO Group” isimli İsrailli şirket tarafından geliştirilen Pegasus casus yazılımı, cep telefonlarına sızarak, cihaz içeriği ve konum geçmişine erişim sağlanmasına imkân vermekte. Her ne kadar şirket söz konusu yazılımların yalnızca suç ve terörle mücadele amacıyla üretildiğini ve hükümetlere de bu amaçla satıldığını öne sürse de yazılımın Avrupa ülkelerinde gazeteciler aktivistler ve politikacılar üzerinde kullanıldığı geçen yıl ortaya konan bir medya soruşturması ile gün yüzüne çıktı. Bunun üzerine EDPS, yazılımın Avrupa Birliği genelinde yasaklanmasının kişilerin temel hak ve özgürlüklerinin korunması açısından yapılabilecek en doğru eylem olduğunun altını çizdi. [8]


KAYNAKÇA

[1] https://www.kvkk.gov.tr/Icerik/7177/Kullanici-Guvenligine-Iliskin-Veri-Sorumlulari-Tarafindan-Alinmasi-Tavsiye-Edilen-Teknik-ve-Idari-Tedbirlere-Iliskin-Kamuoyu-Duyurusu

[2] https://www.kvkk.gov.tr/Icerik/7181/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Idari-Para-Cezasi-Tutarlari

[3] https://www.oaic.gov.au/updates/news-and-media/focus-on-accountability-to-prevent-data-breaches

[4] https://tr.sputniknews.com/20220222/tiktok-guvenlik-danisma-konseyi-kurdugunu-acikladi-aralarinda-turk-akademisyen-de-var-1054104063.html

[5] https://tr.sputniknews.com/20220221/credit-suisseda-veri-sizintisi-devlet-baskanlari-ve-zenginlerin-bilgileri-sizdi-1054067919.html

[6] https://www.nytimes.com/topic/company/credit-suisse-group-ag

[7] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2022/02/ico-statement-on-californias-plans-to-introduce-new-bill-to-protect-children-s-data-online/

[8] https://www.euronews.com/2022/02/15/eu-data-protection-watchdog-calls-for-ban-on-pegasus-spyware


Yazar: Bilgi Teknolojileri Birimi