top of page

KVKK Bülteni - 29. Sayı



İÇİNDEKİLER

I.KURUM KARARLARI VE DUYURULAR


  1. Fransa Veri Koruma Otoritesi (CNIL), online platformlarda bulunan yaş doğrulama sistemi bakımından mahremiyet ve reşit olmayanların korunması hususlarında tavsiye niteliğinde kararlar verdi.

  2. Fransa Veri Koruma Otoritesi (CNIL), ekonomik çıkar grubu olan INFOGREFFE’ ye bünyesinde barındırdığı kişisel veriler hakkında gerekli veri güvenliği tedbiri almadığı ve saklama süresine uymadığı için 250.000 Euro Para cezası verdi.


II. Güncel Haberler


  1. Avustralya’nın telekomünikasyon devi Optus, işlediği kişisel verilere yönelik siber saldırı gerçekleştirildiğini ve bazı verilerin sızdığını açıkladı.

  2. Kişisel Verileri Koruma Kurulu’nun 2017 yılından bugüne kadar gerçekleştirdiği hukuki işlemlerin kısa özeti yapılacaktır.

  3. Avrupa Komisyonu’nun yayınlamış olduğu verilere adil erişim sağlama ve veri kullanımlarını uyumlu hale getiren Veri Yasası, kişisel veriler ile ilgili olan akıllı sözleşmeleri ele almaktadır.


I. Kurum Kararları ve Duyurular




1. Fransa Veri Koruma Otoritesi (CNIL), online platformlarda bulunan yaş doğrulama sistemi bakımından mahremiyet ve reşit olmayanların korunması hususlarında tavsiye niteliğinde kararlar verdi.

Fransa Veri Koruma Otoritesi (CNIL) özellikle bazı sitelere girişte yer alan yaş doğrulama sistemini ve bu sistemin türlerini analiz etmiştir. Bu tür site sahiplerinin işbu yükümlülükleri en doğru şekilde nasıl yerine getirecekleri hakkında görüş paylaşmıştır.

Yaş doğrulama hususu aslında oldukça karmaşık bir işlemdir. İnternette yer alan çeşitli teknik paydaşların kullanıcının gerçek kimliğini bilmelerinin imkansızlığı nedeniyle yaş doğrulama sistemlerinin güvenilirliği de büyük ölçüde sağlanamamaktadır. CNIL yaş doğrulama sistemlerinin, kişisel veriler ile sıkı sıkıya ilişkili olduğunu ve güvenliğin sağlanmasına yönelik bazı kriterlerin olması gerektiğini vurgulamıştır. Özellikle Reşit olmayanların sosyal ağlara erişimine ilişkin Kanun’da yer alan ifadeye göre yaş doğrulama sisteminin 6 unsuru barındırması gerekmektedir. [1]

  • Minimizasyon

  • Orantılılık

  • Dayanıklılık

  • Basitlik

  • Standardizasyon

  • 3.taraf müdahalesi

CNIL’ın genel olarak benimsediği sistem ise merkezileştirilmiş ve dayatılmış çözüm yerine kullanıcıların kontrolünü içeren çözümlerdir.

Bu hususta kumar, alkol vs. satımı yapan sitelerde, yaş kontrolü ödeme yöntemi gibi ikincil bir ek hizmetle doğru şekilde sağlanabilirken, internette yer alan +18 sayfalarda bu kontrol çok sağlıklı yapılamamaktadır. CNIL bu hususta bu tür sitelerde yer alan basit bir 18 yaşından büyük olduğunu gösteren beyanların site sahibini sorumluluktan kurtarmadığını belirtmiştir.

CNIL’ın yaş kontrolü için tavsiyeleri;


1- Güvenilir bir 3.taraf dahil edilerek yaş doğrulama çözümleri yönetilebilir


Bu husus ise internette yer alan ve yaşın doğruluğunu kanıtlayan bir başka veriden yararlanılması ile mümkündür. İşbu yaş doğrulama süreci; yaş kanıtının verilmesi ve bu onaylı yaş kanıtının ilgili siteye iletilmesi şeklinde gerçekleşecektir. Yaş kanıtı çeşitli şekillerde elde edilebilir örneğin internet ortamında kişinin yaşını ispata yarayacak bankacılık sistemleri vs. sistemlerde yer alan bilgiler bu tür bilgilerdir. Bu iki husus için en önemli olan husus ise 3.tarafın elinde olan kişisel veri niteliğindeki bu verilerin önemli veri koruma ve gizlilik konularını içermektedir.


2- Bireylerin verilerini en iyi şekilde koruyacak bir bağımsız 3.taraf denetçisi


Yaş doğrulama gereksinimlere sahip olan sitelerin yaş doğrulama işlemlerini kendisi yapmamalı, ancak geçerliliği tamamlanmış 3.taraf çözümlerine güvenmeleri CNIL tarafından tavsiye edilmektedir.


3- 3.taraf denetçisinin verileri yeterli derecede değerlendirilmelidir. (1)







2. Fransa Veri Koruma Otoritesi (CNIL) ekonomik çıkar grubu olan INFOGREFFE’ye bünyesinde barındırdığı kişisel veriler hakkında gerekli veri güvenliği tedbiri almadığı ve saklama süresine uymadığı için 250.000 Euro Para cezası verdi.


CNIL’e gelen şikayetler üzerine CNIL, sitesinde şirketler hakkında yasal ve resmi bilgi yayınlama hizmeti veren infogreffe.fr web sitesine veri saklama sürelerini ihlal ettiği gerekçesiyle ve aldığı veri güvenliği tedbirlerinin yetersizliğinden kaynaklı olarak 250.000 Euro para cezası verdi.

CNIL yapmış olduğu soruşturmada bir hesaba giriş yapmak ya da sipariş vermek için hesap oluşturan kullanıcıların verilerinin yukarıda sayılan sebeplerle Infogreffe tarafından ihlal edildiğine karar verdi.

Infogreffe.fr web sitesi, bünyesinde yer alan kullanıcılarının ad, soyadı/ banka bilgileri/ posta, e-posta adresleri/cep telefonu bilgileri gibi kişisel verilerin 36 ay süreyle saklı tutulacağını belirtmiştir. Ancak, CNIL yaptığı araştırmada yukarıda ifade edilen kişisel verilerden yüzde 25’inin bu süreden daha uzun süre saklı tutulduğunu tespit etmiştir.

Infogreffe.fr yaklaşık 3,7 milyon hesabı bünyesinde barındırmaktadır. CNIL, bu denli büyük çaplı bir sitede hesap oluşturulurken kullanılan şifrenin güçlü oluşturulmasının sağlanmadığı ve bu durumun kişisel verilerin sızmasına yol açabilecek denli büyük bir sorun olduğunu ifade etmiştir. Ayrıca, CNIL işbu web sitesinin hesaba erişim için gerekli olan geçici şifreleri Infogreffe tarafından açık metin olarak e-posta yolu ile gönderilmesini ve şifre sıfırlama durumunda kullanıcılar tarafından kullanılan şifreleri, gizli soruları ve cevaplarını veri tabanında açık metin olarak tutmasını güvenliği zedeleyen unsurlar olarak kabul etmiştir. (2)


GÜNCEL HABERLER;



1. Avustralya’nın telekomünikasyon devi Optus, Kişisel Verilere yönelik siber saldırı gerçekleştirildiğini ve bazı verilerin sızdırıldığını açıkladı.

Optus, Avustralya’da yer alan en büyük 2.telekomünikasyon şirketidir. Optus, yaklaşık 10 milyondan fazla kullanıcıyı bünyesinde barındırmaktadır. Son günlerde Optus tarafından yapılan açıklamada, Optus kendisine karşı bir siber saldırı düzenlendiğini ve aşağıda yer alan kişisel verilerin sızdırıldığını açıkladı;


1. İsimler

2. Doğum tarihleri

3. Telefon Numaraları

4. E-Mail adresleri

5. Adresler

6. Ehliyet veya pasaport numaraları


Şirket daha fazla ve riskli kişisel verisi işlenenleri bilgilendireceğini, ancak yine de tüm müşterilerin hesaplarını kontrol etmesi gerektiğini bildirdi. Optus; isimlere, doğum tarihlerine ve iletişim bilgilerine siber saldırı neticesinde erişildiğini, çok az sayıdaki bazı kişilerin de ehliyet veya pasaport numaralarının çalındığını ifade etti.

Optus yapmış olduğu açıklamada hiçbir kullanıcının parola ya da ödeme bilgilerinin çalınmadığını ifade etmiştir. (3)


2. Kişisel Verileri Koruma Kurulu’nun 2017 yılından bugüne kadar gerçekleştirdiği hukuki işlemlerin kısa özeti yapılacaktır.


Kişisel Verileri Koruma Kurulu’nun günümüze kadar yapmış olduğu işlemlere genel bir bakış;


  • CİMER kanalı da dahil olmak üzere Kişisel Verileri Koruma Kurulu’na gelen 25.960 ihbar ve başvurudan 23.810 tanesi sonuçlandırılmıştır.

  • Kişisel Verileri Koruma Kanunu madde 12/5’te düzenlenen “İşlenen kişisel verilerin kanuni olmayan yolları başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Kurul gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntem ile ilan edebilir.” Hükmü gereğince Kurum’a bildirile 904 veri ihlali bildirimi arasından 280 tanesi Kurumun internet sayfasında ilan edilmiştir.

  • KVKK madde 9/2/ (b)’de yer alan “Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması” hükmü uyarınca Kurum’a yapılan 40 taahhütname başvurusundan 5 tanesine onay verilmiştir.

  • Toplamda Kurum tarafından 101 Milyon Türk Lirası idari para cezası uygulanmıştır. (4) (5)



3. Avrupa Komisyonu’nun yayınlamış olduğu verilere adil erişim sağlama ve veri kullanımlarını uyumlu hale getiren Veri Yasası, kişisel veriler ile ilgili olan akıllı sözleşmeleri ele almaktadır.


Avrupa Komisyonu, büyüyen Avrupa Birliği iç pazarının ekonomik büyümesi ile bağlantılı olarak pazarın aktif unsurları arasında kişisel verilerin aktarılma sıklığının artacağını ve akıllı sözleşmelerin işbu artan veri aktarımında veri aktarımını sorunsuz şekilde sağlayacaklarını ileri sürmektedir.

Taslak veri yasasına göre akıllı sözleşme kavramı; önceden belirlenmiş koşullara göre işlemleri yürüten ve sona erdiren elektronik defterdeki bilgisayar programlarıdır. Akıllı sözleşmeler, veri sahiplerine ve veri alıcılarına veri paylaşımına ilişkin koşullara uyulduğunu da garanti ederler. Elektronik defterlerin kullanımı, gelişmiş şifreleme teknikleri kullandıkları anlamına gelir.

Avrupa Birliği’nin Veri yasası içinde akıllı sözleşmelere yer vermesinin en büyük nedeni ise akıllı sözleşmelerin çok farklı şekillerde bulunması ve bu çeşitler arasında bir uygulama birliği olmamasıdır.

Akıllı sözleşmeler ile ilgili öncelikli hedef ise, başkası adına akıllı sözleşme hazırlayacak olan kişiye veya veri paylaşımına yönelik sözleşmelerin uygulanmasını destekleyen uygulamaların standartlarını belirlemektir. İşbu akıllı sözleşmeler uyumlaştırma standartlarını ve Standardizasyon Yönetmeliği’nin karşılamalıdır.

Akıllı sözleşmeler için 4 temel gereksinim vardır;


  • Akıllı sözleşmeler, işlevsel hatalara ve 3.taraflar tarafından yapılan ihlallere karşı yüksek koruma içermelidir.

  • Akıllı sözleşmeler bünyelerinde sözleşmeyi sıfırlayan ya da sözleşmenin yürütülmesini engelleyen araçlara sahip olmalıdır. Ancak, Veri Yasası, bu aracın komuta yetkisinin kimde olacağını ve hangi yetkileri olacağını düzenlememektedir.

  • Bir akıllı sözleşmenin sona ermesi durumunda geçmişte işlenen veriler üzerinde gerçekleştirilen işlemlerin kaydını tutabilmek için işlem verilerini, akıllı sözleşme mantığını ve kodu arşivlemek mümkün olmalıdır.

  • Akıllı sözleşmeler erişim kontrol mekanizmaları içermelidir.



KAYNAKÇA


(1) https://www.cnil.fr/en/online-age-verification-balancing-privacy-and-protection-minors

(2) https://www.cnil.fr/en/infogreffe-fined-250000-euros

(3) https://www.bbc.com/news/technology-62996101

(4) “Kişisel Verilerin Korunması Hukukunun Geleceği” etkinliği, Kişisel Verileri Koruma Kurumu Başkanı açılış konuşması

(5) Verinikoru.org

(6) https://www.taylorwessing.com/en/interface/2022/smart-contracts/smart-contracts-in-the-data-act?utm_campaign=Monthly%20Newsletter%20of%20Smart%20Contracts%20and %20Law&utm_medium=email&utm_source=Revue%20newsletter



















Коментарі


bottom of page