KVKK Bülteni 12. Sayı

Güncelleme tarihi: Ağu 27



İÇİNDEKİLER


KURUM VE YARGI KARARLARI

1- Amazon’un Taahhütname Başvurusu ile Yurtdışına Veri Aktarımına İzin Verildi

2- VERBİS’e Kayıt Süreleri Uzatıldı

3- Kişisel Verileri Koruma Kurumu Çalışan Görsellerinin İşten Ayrıldıktan Sonra Silinmesine İlişkin Değerlendirmede Bulundu

4- İspanyol Veri Koruma Otoritesi Tarafından Vodafone İspanya’ya 8.15 milyon Euro’luk İdari Para Cezası


GÜNCEL HABERLER

1- İnsan Hakları Eylem Planı’nda Kişisel Verilerin Korunması Faaliyetleri Planlandı

2- Twitter Bant Genişliğinin Daraltılmasına Saatler Kala Türkiye’ye Temsilci Atadı

3- CNIL’den Clubhouse’a Soruşturma

4- Online Randevu Uygulaması “Grindr” Kullanıcılarının Verilerini Sattığı İddiasından 8.5 Milyon Euro’luk İdari Para Cezası İle Karşı Karşıya


KURUM VE YARGI KARARLARI



Amazon’un Taahhütname Başvurusu ile Yurtdışına Veri Aktarımına İzin Verildi

Amazon Turkey Perakende Hizmetleri Ltd. Şti. ve Amazon Turkey Yönetim Destek Hizmetleri Ltd. Şti.’nin Kişisel Verilerin Korunması Kurumuna yaptığı yurtdışına kişisel veri aktarımı yapılmasına ilişkin Taahhütname başvurusu, Kurul tarafından değerlendirildi ve 04.03.2021 tarihinde, adı geçen veri sorumlularının yurt dışına veri aktarımına izin verildi. Kurul, ilk olarak Şubat ayında, TEB Arval Araç Filo Kiralama Anonim Şirketi’nin Taahhütname başvurusuna izin vermişti. [1]




VERBİS’e Kayıt Süreleri Uzatıldı

Kişisel Verileri Koruma Kurulu, COVID-19 Pandemisi sebebiyle Veri Sorumluları Sicili’ne kayıt yükümlülüklerini yerine getirmekte güçlük çeken veri sorumluları, bağlı oldukları üst kuruluşlar, bazı meslek kuruluşları ile muhtelif sektör temsilcilerinin taleplerini dikkate alarak VERBİS kayıt sürelerini uzattı.


  • 11/03/2021 tarihli ve 2021/238 sayılı Kararı ile VERBİS’e kayıt süreleri, aşağıda belirtilen tarihlere dek uzatılmıştır:

  • Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,

  • Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine,

  • Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2021 tarihine kadar uzatılmıştır. [2]




Kişisel Verileri Koruma Kurumu Çalışan Görsellerinin İşten Ayrıldıktan Sonra Silinmesine İlişkin Değerlendirmede Bulundu

Kişisel Verileri Koruma Kurumu (“Kurum”) 14/052020 tarihli ve 2020/379 sayılı kararında yine örnek bir karara imza atmıştır. Kararda bahsedilen somut olaya göre bir tıp merkezinde çalışan kişi işten ayrıldıktan sonra tıp merkezinin internet sitesinde bulunan video tanıtımında ve diğer ilgili yerlerde fotoğraflarının kaldırılmasını talep etmiştir. Talebi yerine getirilmeyen ve cevap alamayan ilgili kişi Kurum’a başvuruda bulunmuştur.


Kurum kararında özetle görsel ve işitsel kayıtların ilgili kişiye ait bir kişisel veri olduğunu, her verinin bir tutulma süresi olduğu gibi Kanun’un 7. maddesine göre kişisel verilerinin işleme amaçları ortadan kalktıktan sonra verilerin silinmesi yok edilmesi veya anonim hale getirilmiş olması gerektiğini belirtmiştir.


İlgili kişinin görsel ve işitsel kaydının paylaşılmasında iş akdinde belirtilen nedenler bir meşru amaç olmakla birlikte, çalışanın işten ayrılması bu meşru amacı ortadan kaldırmıştır. Bu nedenle işverenin ilgilinin görsel işitsel kaydının web sitesinden kaldırması gereklidir. Kanun’a uygun hareket etmeyen kişiye 75.000 TL idari para cezası kesilmiştir. [3]




İspanyol Veri Koruma Otoritesi Tarafından Vodafone İspanya’ya 8.15 milyon Euro’luk İdari Para Cezası

Spanish Data Protection Agency (“AEPD”) şimdiye kadar İspanya’da bir veri koruma otoritesi tarafından verilen en yüksek idari para cezası kararına imza attı. AEPD’ye ilgili kişiler tarafından toplamda 191 başvuru yapıldı. Başvuruların içeriği ise özetle ilgili kişilerin kişisel verilerini açık rızaları alınmadan hem yurt dışında bulunan ülkelere aktarıldığı hem de ilgili kişilerin açık rızası bulunmamasına rağmen reklam amaçlı SMS veya bilgilendirme yapıldığı şeklinde oldu.


AEPD kararında ayrıca aydınlatma metinlerinde bilgilendirmenin yeterince açık olmadığından ve gerekli koruma tedbirlerin alınmadığından bahsetmiştir. Karar sonrasında açıklama yapan AEPD, para cezasının yüksek olmasının sebebini, Vodafone’nun 2018 ila 2021 arasında 50’den fazla ihlal yapmış olması şeklinde belirtti. [4]



GÜNCEL HABERLER



İnsan Hakları Eylem Planı’nda Kişisel Verilerin Korunması Faaliyetleri Planlandı

Mart 2021’de açıklanan İnsan Hakları Eylem Planı’nda kişisel verilerin korunmasına ilişkin düzenlemelere de yer verildi. Buna göre, “Kişinin Maddi ve Manevi Bütünlüğü İle Özel Hayatının Güvence Altına Alınması” amacı kapsamında, aşağıdaki faaliyetler planlanmıştır:


  • Kişisel Verilerin Korunması Kanunu, Avrupa Birliği standartları ile uyumlu hale getirilecektir.

  • Kişisel Verileri Koruma Kurulu’nun idari para cezası kararlarına karşı sulh ceza hâkimlikleri yerine idari yargıya başvuru imkânı sağlanacaktır.

  • Kişilerin mağduriyetlerinin ve hak kayıplarının önlenmesi için adli sicil kayıtlarının silinmesinde uygulamadan kaynaklı sorunları giderilecek, “arşiv kayıtları”nın silinme süreleri kısaltılacaktır.

  • Ceza mahkûmiyetinin sonucu olan yasaklanmış hakların geri verilmesine ilişkin hükümler, hak ve özgürlüklerin kullanılmasına engel teşkil etmeyecek şekilde yeniden düzenlenecektir.




Twitter Bant Genişliğinin Daraltılmasına Saatler Kala Türkiye’ye Temsilci Atadı

Halk arasında “Sosyal Medya Kanunu” olarak bilinen 7253 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun” ile 5651 sayılı Kanuna eklenen Ek Madde 4’e göre, Türkiye’de günlük erişimi bir milyondan fazla olan sosyal medya şirketlerine temsilci bulundurma zorunluluğu getirilmişti. Daha önceden Facebook, Netflix, Instagram gibi büyük sosyal medya şirketleri 30 milyon liralık idari para cezalarından sonra temsilci bulundurmaya karar vermişlerdi. Türkiye’de temsilci bulundurmayan tek büyük sosyal medya platformu ise Twitter olarak kalmıştı. Twitter’a 3 Şubat Çarşamba gününden itibaren reklam yasağı cezası başlamıştı. 19.03.2021 tarihinde Twitter, Türkiye’ye temsilci atamaya karar verdi. [5]




CNIL’den Clubhouse’a Soruşturma

Fransız Veri Koruma Otoritesi CNIL, Alpha Exploration CO., Inc.’e ait olan ve son zamanlarda oldukça popülerleşen Clubhouse adlı sosyal medya platformuna yönelik bir şikayet sebebiyle kişisel verileri nasıl işlediklerine ilişkin soruşturma başlattı. İlgili açıklamada, Clubhouse’un GDPR uyumluluğunun inceleneceği ve Clubhouse’un veri ihlalinde bulunduğu iddiasıyla 10.000’den fazla imza taşıyan dilekçenin dolaşımda olduğu belirtildi. [6]



Online Randevu Uygulaması “Grindr” Kullanıcılarının Verilerini Sattığı İddiasından 8.5 Milyon Euro’luk İdari Para Cezası İle Karşı Karşıya

Norveç Veri Koruma Otoritesi (Datatilsynet) Grindr’ın kullanıcı verilerini sattığı iddiası sonucu veri sorumlusu hakkında soruşturma başlattı. Kullanıcıların lokasyonları, yaşları, cinsiyetleri ve cinsel yönelim bilgilerinin satıldığı iddiasından yola çıkan Datatilsynet Grindr’dan savunma yapmasını istedi. Halen bir savunma yapmayan Grindr yetkilileri New York Times’a röportajda bulundu. Yetkililer; “Kullanıcıların kişisel verilerini en yüksek seviyede koruma sağladığını, kişisel verilerin gizliliği bir numaralı ilkeleri olduğunu, verilerin paylaşılması için ilgili bilgilendirmenin yapıldığı ve açık rızalarının da alındığını” söyledi.


Norveç Veri Koruma Otoritesi ise idari para cezasının bu kadar yüksek olabilme nedenini; “Bazı kullanıcıların cinsel yönelimlerinin kimi ülkelerde legal olmadığı, bu kişilerin lokasyonlarının tespit edilebildiği, bu sebeplerle kullanıcıların çok zor zamanlar geçirebileceği” şeklinde belirtti. [7]