KVKK Bülteni 26. Sayı

Güncelleme tarihi: 31 May


İÇİNDEKİLER

I. Kurum Kararları ve Duyurular

  1. Kişisel Verileri Koruma Kurulu'nun 2022/388 Sayılı İlke Kararı 29.04.2022 Tarihinde Resmi Gazete'de Yayınlandı

  2. Yıldız Teknoloji Geliştirme Bölgesi Teknopark A.Ş. Veri İhlali Bildiriminde Bulundu

  3. Uber'e İtalya Veri Koruma Otoritesi Garante'den 4.2 Milyon Euro Ceza

  4. Google, Avrupa Veri Koruma Tüzüğü'nü (GDPR) İhlal Etmesi Nedeniyle 10 Milyon Euro Ceza Ödeyecek


II. Güncel Haberler

  1. Doxbin Siber Zorbalık Topluluğu, ABD Uyuşturucuyla Mücadele Dairesi'nin (DEA) Veri Portallarına Saldırı Gerçekleştirdi

  2. Avrupa Sağlık Veri Alanı'na Yönelik Pilot Proje Eylül'de Başlatılıyor

  3. Akıl Sağlığı Uygulamaları (Mental Health Apps) ile Paylaştığınız Verileriniz Güvende mi?


I. Kurum Kararları ve Duyurular


1. Kişisel Verileri Koruma Kurulu'nun 2022/388 Sayılı İlke Kararı 29.04.2022 Tarihinde Resmi Gazete'de Yayınlandı


İlgili karar Kişisel Verileri Koruma Kurumu’na iletilen belediyelerin emlak vergisi ödeme, hızlı ödeme ve borç sorgulama sayfalarında yalnızca kişinin TC kimlik numarası ile emlak bilgilerine ulaşılabilmesi ile ilgili çok sayıda ihbar gelmesi sonucu alındı.


Kararın değerlendirme kısmında özellikle bir yandan Kişisel Verilerin Korunması Kanunu’nun 12. maddesinde yer alan veri sorumlularının yükümlülüklerine yer verilirken diğer yandan Kişisel Veri Güvenliği Rehberi’nin “Teknik ve İdari Tedbirler Mevcut Risk ve Tehditlerin Belirlenmesi” başlıklı rehberinden yola çıkarak çift faktörlü doğrulama ve kişiye özgü şifreleme sistemlerinin üzerinde duruldu. Çift faktörlü doğrulama kapsamında ilk doğrulamanın kişinin TC kimlik numarası, ad soyad, vergi no gibi bilgileri ile yapılması, ikinci doğrulamanın ise kişiye özel olarak belirlenecek ve SMS ya da e-posta ile iletilen bir şifre sistemi ile veya üyelik sistemi ile gerçekleştirilmesi gerektiği belirtildi. [1]



2. Yıldız Teknoloji Geliştirme Bölgesi Teknopark A.Ş. Veri İhlali Bildiriminde Bulundu


Söz konusu ihlal bildirimi Kişisel Verileri Koruma Kurulu’nun 12.05.2022 tarih ve 2022/478 sayılı kararı ile Kurumun internet sitesinde yayınlanmıştır. İlgili ihlalin gerçekleşme sebebi olarak 03.05.2022 tarihinde veri sorumlusu sistemlerine karşı gerçekleştirilen siber saldırı gösterilmiştir. Saldırı sonrasında 05.05.2022 tarihinde veri sorumlusuna gönderilen fidye talebi içerikli not ile ihlal tespit edilmiştir.


Saldırıdan etkilenen sistemler veri sorumlusuna ait Argeportal, eBA, PDKS, Logo yazılım, EBYS ve şirket içi ortak alan olarak belirtilirken saldırıya konu olan veri kategorileri ise ilgili kişilerin kimlik, iletişim, lokasyon, özlük, finans, müşteri işlem ve mesleki deneyim bilgileri olarak belirtildi. Saldırıdan etkilenen kişi gruplarının çalışanlar, kullanıcılar ve müşteriler olduğu bilinmekle beraber kapsam itibariyle kaç kişiyi etkilediği bildirim günü itibariyle tespit edilememiştir. [2]



3. Uber'e İtalya Veri Koruma Otoritesi Garante'den 4.2 Milyon Euro Ceza


Garante, Uber’in veri işleme süreçleri hakkında yapmış olduğu incelemeler sonucunda Uber’e ait bir yan kuruluş tarafından veri işleme düzenlemelerine aykırı faaliyetler yürütüldüğü kararı verdi.


Söz konusu karara göre ilgili kuruluş, kişilerin verilerini açık rızaları olmaksızın ve veri koruma otoritelerini bildirmeksizin işlemekte. İşlenen verilerin arasında kişilerin Uber hesapları, iletişim bilgileri ve lokasyon verileri bulunmakta. Ek olarak Garante, Uber’e ait Hollanda’da ve Amerika’da bulunan şirketlerin İtalyan veri koruma kanununa aykırılık teşkil ettiğini belirtti. [3]



4. Google, Avrupa Veri Koruma Tüzüğü'nü (GDPR) İhlal Etmesi Nedeniyle 10 Milyon Euro Ceza Ödeyecek


İspanya Veri Koruma Otoritesi (AEPD) tarafından verilen cezanın gerekçesi Google’ın üçüncü taraf şirketlere yapmış olduğu veri aktarımında ilgili kişilerin ayrılma seçeneğinin bulunmaması oldu. Söz konusu aktarımın gerçekleştiği veri tabanı olan Lumen Project’e kişilerin e-mail adresleri ve bireylerin hukuki talepleri aktarılmaktaydı.


Karar uyarınca Lumen söz konusu verileri tekrar kullanamayacak, Google ise tüm verileri silmek zorunda kalacak. [4]



II. Güncel Haberler


1. Doxbin Siber Zorbalık Topluluğu, ABD Uyuşturucuyla Mücadele Dairesi'nin (DEA) Veri Portallarına Saldırı Gerçekleştirdi


İddianın sahibi olan KrebsOnSecurity gazetecisi Brian Krebs’in iddiasına göre ilgili saldırı esp.usdoj.gov data portal üzerinden Kanun Uygulama Sorgulama ve Uyarılar (LEIA) sistemine karşı gerçekleştirildi.


Saldırıyı gerçekleştiren grup olan Doxbin grubunun daha önce Microsoft, NVIDIA ve Samsung gibi şirketlere yönelik büyük çapta saldırılar gerçekleştiren LAPSUS$ grubuna bağlı olarak faaliyet gösterdiği bilgisine ulaşıldı. Siber saldırının bu portal ile birlikte 16 farklı federal veri tabanına daha erişim imkânını ortaya çıkarması ve suçluların sistem içerisindeki suç kayıtlarında değişiklik yapabilme imkânı durumun vahametini de ortaya koymakta. Öte yandan bu sistemlere erişilmesi halinde ateşli silahların, dronların ve taşıtların kayıtlarına da erişebilmekte. Sisteme giriş esnasında ikili doğrulama olmadığı ayrıntısı da güvenlik açıklarının gün yüzüne çıkması açısından önemli bir detay.


İddia sahibi Krebs tarafından saldırı DEA’ya Adalet Bakanlığı’na ve Federal Soruşturma Bürosu’na bildirildi, konuya ilişkin incelemeler devam etmekte. [5]



2. Avrupa Sağlık Veri Alanı'na Yönelik Pilot Proje Eylül'de Başlatılıyor


Proje temelde tedavi edici sağlık sistemleri modellerinden önleyici sağlık modellerine geçişi hızlandırmak adına yapay zekâ ve veri üzerine inşa edilmekte. Kişilerin doktora gittiklerinde paylaştıkları veriler üzerine kurulacak olan sistemle birlikte çok daha gelişmiş sağlık hizmetleri oluşturulabilecek.


Fransa’nın ev sahipliğini yaptığı ve en gelişmiş dijital sağlık altyapısı olan The Health Data Hub ile projenin hız kazanması beklenmekte. Öte yandan kullanılan verilerin güvenliği hakkında da akıllardaki soru işaretleri giderilmeye çalışılmakta.


Alınacak önlemler arasında anonimleştirme, yüksek standartlara sahip siber güvenlik önlemlerinin alınması ve erişim koşullarının zorlaştırılması yer almakta. [6]


3. Akıl Sağlığı Uygulamaları (Mental Health Apps) ile Paylaştığınız Verileriniz Güvende mi?

Mozilla Foundation’ın yapmış olduğu araştırmaya göre sorunun cevabı, hayır. “Privacy Not Included” raporunda yer verildiği üzere kişilerin özellikle yeme bozuklukları, akıl sağlığı verileri gibi özel nitelikli kişisel verilerini işleyen bu uygulamalar, verilerin korunması ile ilgili sıralamalarda son sıralarda yer almakta.


İnceleme altına alınan 32 uygulamanın 28’i bu alanda endişe yaratmakta iken bunlardan 25’i güvenlik standarlarını sağlayamadı. (şifreleme, güvenlik güncellemeleri, zayıf noktaların yönetilmesi) Privacy Not Included’dan Jen Caltrider, söz konusu uygulamaların kişileri en zayıf noktalarından vurarak akıl sağlığı sorunlarını hiç beklemeyecekleri şekilde reklam malzemesine dönüştürdüğünü belirtti.


Yüksek oranda veri toplayan bu uygulamalara karşı kullanıcıların dikkatli olması gerektiği hususu Euronews tarafından paylaşılan haberde altı çizilen en önemli noktalardan. [7] [8]


KAYNAKÇA

[1] https://www.kvkk.gov.tr/Icerik/7252/2022-388

[2] https://www.kvkk.gov.tr/Icerik/7258/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Yildiz-Teknoloji-Gelistirme-Bolgesi-Teknopark-AS

[3] https://iapp.org/news/a/italys-dpa-fines-uber-4-2m-euros-for-data-processing-violations/

[4] https://iapp.org/news/a/aepd-hands-google-10m-euro-gdpr-fine/

[5] https://www.cpomagazine.com/cyber-security/data-breach-on-dea-law-enforcement-system-grants-cyber-criminals-access-to-16-databases/

[6] https://www.euronews.com/next/2022/05/19/your-health-data-can-help-scientific-research-but-how-will-it-be-protected

[7] https://www.euronews.com/next/2022/05/03/top-mental-health-apps-are-data-sucking-machines-that-could-be-trading-your-sensitive-info

[8] https://foundation.mozilla.org/en/privacynotincluded/calm/