KVKK BÜLTENİ 25. Sayı



İÇİNDEKİLER

I. Kurum Kararları ve Duyurular

  1. 7 Nisan Kişisel Verileri Koruma Günü

  2. Parmak İzi ile Mesai Takibi Hak İhlali Sayıldı

  3. Google Analytics Kullanımı Avusturya Veri Koruma Otoritesi Tarafından GDPR İhlali Sayıldı

II. Güncel Haberler

  1. Apple’ın Uygulamalar Arası Veri Takip Sistemi’nde Açıklar Mı Var?

  2. MERNİS Kimlik Bilgilerinin Sızdırıldığına İlişkin İddialar Nüfus İşleri Müdürlüğü’nden Açıklama Geldi

  3. Clearview AI, Yüz Tanıma Teknolojisini Ukrayna’nın Kullanımına Sunuldu

  4. “Bağımsızlık Yanlısı Liderlerin Casus Yazılımlarla Hedef Alınmasına Yönelik Olarak Soruşturma Başlatılsın”


I. Kurum Kararları ve Duyurular

1. 7 Nisan Kişisel Verileri Koruma Günü

Kişisel verileri koruma gününe özel olarak Kişisel Verileri Koruma Kurumu (KVKK) tarafından düzenlenen etkinlikte bu yıl Kurum’un konferans salonunda ortaöğretim öğrencileri ve öğretmenleri ağırlandı. Kurum başkanı Prof. Dr. Faruk BİLİR tarafından etkinliğin açılış konuşmasında kullanılan; “Algoritmalar kişiye seçimlerinde yardımcı olabilir. Fakat son kararı veren kişinin kendisi olmalıdır. Yapay zekâ ve özellikle son zamanlarda metaverse gibi gelişme sürecinde olan teknolojilerde de temel yaklaşım bu olmalıdır.” ifadesi önem teşkil eden ifadelerden biri oldu. Etkinlik kapsamında düzenlenen son panelin konu başlığı ise “Dijital Çağda Mahremiyet: Çocukların Kişisel Verilerinin Korunması” ‘ydı. [1]


2. Parmak İzi ile Mesai Takibi Hak İhlali Sayıldı

Söke Belediyesi’nde memur olarak çalışan personelin bireysel başvurusu üzerine Anayasa Mahkemesi, parmak izi ile mesai takibinin yapılmasını “özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkının ihlali” şeklinde karara bağladı. Kararın gerekçesinin temelinde memurun Kişisel Verilerin Korunması Kanunu kapsamında parmak izinin alınması ile ilgili olarak açık rızasının bulunmadığı, mesai takibiyle ilgili olarak Kanun’da biyometrik veri özelinde bir düzenleme yer almadığından söz konusu verilerin işlenmesinin kanunilik unsurunu karşılamadığı, ilgili gerekçeye dayanarak kişinin kişisel verilerinin korunması isteme hakkının ihlal edildiği görüşü yer almaktadır. [2], [3]


3. Google Analytics Kullanımı Avusturya Veri Koruma Otoritesi Tarafından GDPR İhlali Sayıldı

Google Analytics yapı itibariyle siz internette dolaşım sırasındayken hangi içeriklerin hoşunuza gittiğini, ilgili içeriklere ne kadar zaman ayırdığınızı ve bunun yanında cihazınız hakkındaki diğer bilgileri “cookie” ler yardımı ile toplama işlevine sahiptir. Milyonlarca internet sitesi gibi Avusturya menşeli bir internet sitesi olan NetDoktor da kendisi gibi milyonlarca sitenin kullandığı söz konusu sistemi kullanmaktaydı. Ancak, söz konusu sistem Google serverlarının Amerika Birleşik Devletleri’nde bulunmasından dolayı topladığı verileri, aynen NetDoktor web sitesi somut olayında olduğu gibi, kıtalararası dolaşıma aktarmaktadır. Yalnızca bir web sitesi adına verilen Amerikan şirketlerinin yeterli gizlilik önlemlerini almadığı tespitine dayanan söz konusu GDPR ihlali kararı Avrupa ve Amerika’yı konu özelinde karşı karşıya getirdi. Google küresel ilişkilerden sorumlu kıdemli başkan yardımcısı ve baş hukuk müşaviri Kent Walker kararın şimdilik yalnızca bir kurumu ve özel bir durumu ilgilendirdiğini, ancak ileride daha büyük uyuşmazlıklara yol açabileceğine dikkat çekti. Amerika ve Avrupa’nın bundan sonraki adımları merakla beklenirken Amerika tarafında mahremiyet özelinde yasal çerçevenin değişmesi zor gözükürken Gizlilik Kalkanı (Privacy Shield) üzerinde tarafların çalışabileceği değerlendirilmekte. [4]


II. Güncel Haberler

1. Apple’ın Uygulamalar Arası Veri Takip Sistemi’nde Açıklar Mı Var?

Apple kullanıcılarının büyük bir çoğunluğu uygulamalar arası takip (cross tracking) için Apple’ın izin mekanizmasını tecrübe etmiştir. Peki ya izin verilmediğinde söz konusu uygulamalar arası takip gerçekten sonlanıyor mu? Bu noktada IAPP’nin paylaştığı habere göre sorunun cevabı maalesef olumsuz. Araştırmacılara göre sistem (App Tracking Transparency (ATT framework)) içerisindeki boşluklar ağ geçidi denetleyicilerinin (gatekeeper companies) kullanıcı izin vermese dahi Google, Facebook gibi birinci taraflar üzerinden kullanıcı verilerini toplamalarına izin vermekte. Söz konusu işlem bir nevi veri güvenliği sisteminin baypas edilmesi anlamına geliyor. [5], [6]


2. MERNİS Kimlik Bilgilerinin Sızdırıldığına İlişkin İddialar Nüfus İşleri Müdürlüğü’nden Açıklama Geldi

Geçtiğimiz günlerde özellikle Twitter üzerinden yapılan paylaşımlarla gündeme gelen vatandaşların kimlik bilgilerinin siber saldırılar ile çalındığı haberinin gündemi meşgul etmesi üzerine Nüfus Müdürlüğü’nden konuya ilişkin açıklama geldi. Müdürlük ilgili verilerle ilgili bir güvenlik zafiyetinin söz konusu olmadığını öne sürerken paylaşılan kimlik kartı görüntülerinin Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (NVİGM) veri tabanında yer almadığını, görüntü düzenleyici programlar vasıtasıyla paylaşılan kimlik kartlarının düzenlendiğini, dolayısıyla iddiaların asılsız olduğunu öne sürdü. Müdürlük tarafından yapılan açıklamalar “(…) Bakanlığımız Hukuk Hizmetleri Genel Müdürlüğü tarafından suç duyurusunda bulunulacaktır." sözleriyle noktalandı. Konuya ilişkin sürecin nasıl ilerleyeceği kamuoyunda merakla beklenen hususlardan biri. [7]


3. Clearview AI, Yüz Tanıma Teknolojisini Ukrayna’nın Kullanımına Sunuldu

Rusya ve Ukrayna arasındaki mücadelede kullanılması adına Amerikan menşeli yapay zekâ şirketi Clearview AI, teknolojisini ücretsiz olarak Ukrayna’nın kullanımına sundu. Teknoloji, Rus askerlerinin ve ölülerin yüzlerinin geniş veri tabanı sayesinde tanımlanmasını sağlayacak. Her ne kadar uygulamada faydalı olarak addedilebilse de ilgili teknoloji özelinde New York Gözetim Teknolojisi Denetim Projesi Albert Fox Cahn’ın yaptığı açıklamalara göre yanlış eşleşmeler sivil ölümlere neden olabilir. Cahn söz konusu olasılığı aynı teknolojinin kullanıldığı senaryolarda polislerin geçmişte haksız tutuklamalarda bulunduğu örneklere dayandırdı. Öte yandan işin gizlilik kısmında bahsi geçen teknolojinin kullanımını aralarında İngiltere, Avusturalya ve İtalya’nın da olduğu ülkeler yasa dışı olarak değerlendirmekte. [8]


3. “Bağımsızlık Yanlısı Liderlerin Casus Yazılımlarla Hedef Alınmasına Yönelik Olarak Soruşturma Başlatılsın”

Katalan Cumhurbaşkanı Pere Aragonès yapmış olduğu çağrı ile kendisinin de aralarında bulunduğu bağımsızlık hareketiyle bağlantılı 60 kişinin NSO Group’a bağlı olan Pegasus casus yazılımlarla izlendiğini belirterek konuya ilişkin “resmi ve bağımsız” bir soruşturma başlatılması gerektiğini öne sürdü. Aragonès’in yapmış olduğu açıklamaların temelinde siyasi görüşleri nedeniyle yapılan izlemelerin bireysel hakların ihlali niteliğinde olduğu demokrasiye ve siyasi muhalefete bir saldırı niteliğinde olduğu görüşü yer almakta. [9]


KAYNAKÇA

[1]https://www.kvkk.gov.tr/Icerik/7246/7-Nisan-Kisisel-Verileri-Koruma-Gunu-Etkinligi-Gerceklestirildi

[2]https://www.bundle.app/gundem/anayasa-mahkemesi-%E2%80%B2parmak-izi-ile-mesai-takibi%E2%80%B2ni-hak-ihlali-saydi-c7f47c0f-fe72-457b-89f0-850e001ab97a

[3]https://www.lexpera.com.tr/ictihat/anayasa-mahkemesi/e-2018-11988-k-1-t-10-3-2022

[4]https://www.wired.com/story/google-analytics-europe-austria-privacy-shield/

[5]https://iapp.org/news/a/loopholes-in-apples-att-allow-gatekeeping-companies-to-still-collect-user-data-report/

[6]https://arstechnica.com/information-technology/2022/04/a-year-after-apple-enforces-app-tracking-policy-covert-ios-tracking-remains/

[7]https://tr.euronews.com/2022/04/13/nufus-isleri-mudurlugu-nden-mernis-kimlik-bilgilerinin-s-zd-r-ld-g-iddialar-yla-ilgili-ac-

[8]https://tr.euronews.com/2022/03/14/ukrayna-tart-smal-yuz-tan-ma-teknolojisi-ile-ruslar-n-ve-olulerin-kimlik-tespitini-yapabil

[9]https://www.theguardian.com/world/2022/apr/19/catalan-president-calls-for-investigation-as-spyware-targets-pro-independence-leaders


YAZAR

Bilgi Teknolojileri Birimi