İÇİNDEKİLER
I. Kurum Kararları ve Duyurular
Kişisel Verileri Koruma Kurulu’nun 2022/662 Sayılı ve 07.07.2022 Tarihli “El Geometrisi Bilgisinin Bir İşletmenin Hizmet Binasına Giriş Yapabilmek Amacıyla Veri Sorumlusu Tarafından İşlenmesi” Hakkındaki Kararı Web Sitesinde Yayınlandı
AstraZeneca İlaç San. ve Tic. Ltd. Şti. Veri İhlali Bildiriminde Bulundu
NeoPets Inc. Veri İhlali Bildiriminde Bulundu
II. Güncel Haberler
Kaliforniya’da Meta’ya Karşı Kişisel Verileri Rıza Olmaksızın Kullandığına Dair Şikayette Bulunuldu
Tiktok Kişiselleştirilmiş Reklamlar İçin Kullanılan Yasal Dayanaktaki Değişikliği Duraklatacağını Duyurdu
CNIL, Fransız Otel Grubu olan ACCOR’a Kişisel Verileri İhlal Ettiği Gerekçesiyle 600.000 Euro Ceza Verdi
I. Kurum Kararları ve Duyurular
1. Kişisel Verileri Koruma Kurulu’nun 2022/662 Sayılı ve 07.07.2022 Tarihli “El Geometrisi Bilgisinin Bir İşletmenin Hizmet Binasına Giriş Yapabilmek Amacıyla Veri Sorumlusu Tarafından İşlenmesi” Hakkındaki Kararı Web Sitesinde Yayınlandı
Kişisel Verileri Koruma Kurulu’nun 2022/662 sayılı ve 07.07.2022 tarihli kararında, ilgili kişinin bir işletmeye kayıt yaptırırken hizmet alanına giriş yapabilmek için ilgili firma yetkililerince avuç içi ve parmak izi bilgisinin tarandığı ve bu verilerin şirket kayıtlarında işlendiği, hizmet alan kişilerin cihaza elini koyarak ve verilen şifreyi tuşlayarak hizmet alanına girişin sağlandığı, dolayısıyla Kanunen geçerli bir açık rıza olmaksızın avuç içi ve parmak izinin taratıldığı üzerinde şikayette bulunmuştur.
Veri sorumlusu ise “el geometrisinin” yanı sıra sisteme giriş için kişilerin kendilerinin belirlediği şifreleri olduğu ve “el geometrisinin” avuç içi ve parmak izinden farklı olarak özel nitelikte kişisel veri olmadığını ileri sürmüştür.
Kurum yapmış olduğu incelemede, bir kişinin diğer şahıslardan ayrılmasını ve bizzat kişinin kimliğinin tanımlanmasını sağlayan, bu kişiye ait bit biyolojik veya davranışsal bilgi içeren verilerin özel nitelikli kişisel veri olduğunu, bu kapsamda el geometrisinin özel nitelikli kişisel veri olduğu sonucuna varılması gerektiğine karar vermiştir. Kanun’un 6.maddesi uyarınca özel nitelikli kişisel verilerin işlenmesinin daha sıkı koşullara bağlandığı, bu verilerin ancak açık rızanın bulunması veya kanunlarda açıkça öngörülmesi halinde işlenmesinin mümkün olduğunu belirterek, somut olayda ilgili kişinin veri sorumlusu nezdindeki hizmet binasına girişlerde açık rıza almayarak Kanun’un 6.maddesine aykırı hareket ettiği, bu sebepten kendisine 100.000 TL idari para cezası verilmesi gerektiğine karar vermiştir. [1]
2. AstraZeneca İlaç San. ve Tic. Ltd. Şti. Veri İhlali Bildiriminde Bulundu
İhlal bildirimi Kişisel Verileri Koruma Kurulu’nun 11.08.2022 tarih ve 2022/831 sayılı kararı ile Kurumun internet sitesinde yayınlanmıştır. Söz konusu ihlalin, çalışan adaylarının, “AstraZeneca”daki açık pozisyonlara başvurabilmelerini sağlayan, veri işleyen (Workday Limited) sisteminde gerçekleştiği açıklanmıştır. İlgili ihlalin gerçekleşme sebebi olarak bir adayın kendi hesabına giriş yapmadan iş başvurusu gönderebilmesi için Workday’in kullanıcı oturumuna ilişkin verileri izlemek adına JavaScript değişkeni kullandığı, bu değişkenin HTML kaynağına dahil edildiği, kariyer sitesi için HTML kaynağını inceleyen, örneğin “Kaynağı Görüntüle” özelliğini kullanan kullanıcılar tarafından görülebilir hale geldiği ve bahse konu durumdan dolayı, başvuru yapan çalışan adaylarının kişisel verilerinin kısa süreliğine görülebilir hale geldiği açıklanmıştır.
İhlalden etkilenen kişi grubunun çalışan adayları olduğu belirtilerek tahmini 981 kişinin ihlalden etkilendiği bildirilmiştir. [2]
3. NeoPets Inc. Veri İhlali Bildiriminde Bulundu
NeoPets Inc. Tarafından kurula bildirilen ihlal kapsamında; ihlalin 17.07.2022 tarihinde gerçekleştiği ve 20.07.2022 tarihinde tespit edilebildiği açıklanmıştır. NeoPets Inc. Veri sorumlusu sıfatıyla kendi kullanmış oldukları elektronik ve teknolojik sistemlerin bir kısmının siber saldırıya uğradığını tespit ettiklerini, daha sonra başka bir forum üzerinden saldırganın, veri sorumlusu olan NeoPets Inc.’in sisteminden yaklaşık 69 milyon mevcut ve eski kullanıcının verilerinin ele geçirdiğini açıkladığını ve bu açıklamayı yapma amacının söz konusu kaynak kodlarını ve veri tabanını satma amacı olduğunu belirtmiştir.
Söz konusu ihlalden etkilenen kişisel veriler ise genel olarak; kimlik, iletişim ve işlem güvenliği olduğu ancak bu 3 türle sınırlı olmayabileceğini, bu hususta araştırmalara devam ettiğini belirtmiştir. İhlalden etkilenen kişi sayısını tam olarak tespit etmek şu anda mümkün olmamakla beraber online platforma kayıtlı olan aktif kullanıcı sayısı 3,5 milyon iken aktif olmayan 65 milyon kullanıcının olduğu bilinmektedir.
İhlalden kullanıcı, abone/üye ve çocukların verileri etkilenmiştir. Söz konusu ihlal KVKK kurumu tarafından incelenmeye devam edilmekte olup siteye 28.07.2022 tarih ve 2022/757 sayılı Kararı ile ihlal bildirimi sitede ilan edilmiştir. [3]
II. GÜNCEL HABERLER
1. Kaliforniya’da Meta’ya Karşı Kişisel Verileri Rıza Olmaksızın Kullandığına Dair Şikayette Bulunuldu
Kaliforniya’da yer alan UCSF Medikal Center ve Dignity Healht Medical Foundation isimli tıp kuruluşlarının bünyesinde yer alan Hastalar, Meta’nın kendi hastalık ve sağlık bilgilerinin rıza olmaksızın aldığını ve ticari amaçlar ile kullandığı gerekçesiyle şikâyet haklarını kullanmışlardır. Hastalar, Kişisel Verilerinin ihlal edildiğini ise Facebook isimli uygulamada yer alan reklamların içeriğinden fark etmişlerdir. Kendi özel veri niteliğinde yer alan sağlık, durum, tedavi, doktor gibi kişisel verileri hakkında bilgi içeren ya da işbu bilgilerle yakından alakalı Facebook reklamlarının hastalara gönderilmesi, hastaların kişisel veri niteliğinde yer alan bilgilerin Facebook ile paylaşıldığını düşünmesine neden olmuştur.
Meta Piksel, herhangi bir web sitesi ile uyumlu olarak çalışan bir kod parçası olmakla birlikte ziyaretçi profili oluşturma, kişisel olan ya da olmayan bilgiler toplama ve bunları ticari amaçla özellikle reklam sektöründe kullanmayı amaçlamaktadır. Bu nedenle davacılar, Meta’nın ve ilgili sağlık kuruluşlarının kendi kişisel verilerinin hatta özel nitelikte kişisel verilerinin mahremiyetinin ihlal edildiği ve yasaların aşıldığı gerekçesiyle şikâyette bulunmuşlardır. [4]
2. Tiktok Kişiselleştirilmiş Reklamlar İçin Kullanılan Yasal Dayanaktaki Değişikliği Duraklatacağını Duyurdu
Geçtiğimiz günlerde EDPB, TikTok’un artık kişiselleştirilmiş reklamlar göndermek için kullanıcıların rızasını aramayacağını ve yasal dayanağının TikTok ve ortaklarının meşru menfaati olduğunu açıklamıştı. Söz konusu açıklamanın ardından İrlanda, İtalyan ve İspanyol Denetleme Otoriteleri tarafından hızlı eylemler alınması ile TikTok kişiselleştirilmiş reklamlar için kullanılan yasal dayanaktaki değişikliği duraklatacağını duyurdu.
Ek olarak haberde denetleme otoritelerinin bazı itirazlar üzerinde fikir birliğine varamadığı, bu sebepten GDPR Art.65 uyarınca itirazların LSA tarafından EDPB’ye gönderildiği ayrıca vurgulandı. [5]
3. CNIL, Fransız Otel Grubu olan ACCOR’a Kişisel Verileri İhlal Ettiği Gerekçesiyle 600.000 Euro Ceza Verdi
Fransız Otel Grubu olan Accor ile ilgili müşteriler ya da Müşteri adayları tarafından kişisel verilerinin mahremiyetinin ihlal edildiği gerekçesiyle çok sayıda şikâyet CNIL’e yapıldı. Söz konusu şikâyetin konusu ise Web sitesinden ya da ACCOR’un ilgili görevlisinden otel randevusu yapıldıktan sonra ACCOR ortaklarının kendi iş ve işlemleri ile ilgili söz konusu müşteriler ya da müşteri adaylarına reklam içerikli haber bülteni bildirimlerinin gittiği hususundadır.
Konuyu inceleyen CNIL’ın yaptırımlardan sorumlu olan organı ise ACCOR’a bu karar sonucunda 600.000 euro para cezası vermiştir. İlgili organ işbu ceza miktarını belirlerken ihlalin boyutunu, ihlal sayısını, ACCOR’un ekonomik büyüklüğünü vs. dikkate alarak karar vermiştir. [6]
KAYNAKÇA
1. https://www.kvkk.gov.tr/Icerik/7399/2022-662
2. https://www.kvkk.gov.tr/Icerik/7425/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-AstraZeneca-Ilac-San-ve-Tic-Ltd-Sti-
3. https://www.kvkk.gov.tr/Icerik/7416/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-NeoPets-Inc-
4. https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-response-beuc-regarding-tiktok_en
5. https://edpb.europa.eu/news/news/2022/edpb-publishes-art65-gdpr-dispute-resolution-binding-decision-concerning-accor-sa_en
6. https://www.marketingturkiye.com.tr/haberler/meta-kisisel-veri-davasi/
Opmerkingen