KVKK Bülteni 14. Sayı

En son güncellendiği tarih: Haz 1



İÇİNDEKİLER


KURUM KARARLARI

1- Site Yönetim Hizmeti Sunan Bir Şirkete İlgili Kişilerin Kişisel Verilerini Bir Mobil Uygulama ile Hukuka Aykırı Olarak Paylaşması Sebebiyle İdari Para Cezası Verildi

2- Hasta Dosyalarının Çalındığı Bir Hastaneye Yeterli İdari ve Teknik Tedbirleri Almadığı ve İhlali Derhal Bildirmediği Gerekçesiyle Toplan 600.000 TL İdari Para Cezası Verildi

3- Bir Sigorta Şirketine Açık Rıza ve Aydınlatma Yükümlülüklerini Mevzuata Uygun Yerine Getirmediği Gerekçesi ile İdari Para Cezası Kesildi

4- Hollanda Veri Koruma Otoritesi Autoriteit Persoonsgegevens’den (“AP”) Locatefamily.com adlı siteye 525.000 Euro’luk idari para cezası uyguladı


GÜNCEL HABERLER

1- BtcTurk Veri İhlali Bildiriminde Bulundu

2- Türkiye'de İlk Kez Blockchain Teknolojisi Kullanılarak Canlı Dış Ticaret İşlemi Gerçekleştirildi

3- Whatsapp Gizlilik Sözleşmesi Değişikliğinde Geri Adım Attı

4- Siber Güvenlik Şirketi Barikat Tarafından Gerçekleştirilen Bilgi Teknolojileri Güvenliği Testi Sonuçları Bilgisayar Korsanları Tarafından Ele Geçirildi



KURUM KARARLARI



Site Yönetim Hizmeti Sunan Bir Şirkete İlgili Kişilerin Kişisel Verilerini Bir Mobil Uygulama ile Hukuka Aykırı Olarak Paylaşması Sebebiyle İdari Para Cezası Verildi

Kuruma intikal eden şikâyette ilgili kişi, telefon numarasının oturduğu site yönetimi tarafından bir mobil uygulama ile rızası olmaksızın paylaşıldığını ve kendisine SMS geldiğini belirtmiştir. Yönetim hizmeti sunan şirket ise yönetim faaliyetleri sebebiyle birtakım yönetim programları kullandıklarını ancak şikâyete konu uygulamayı kullanmadıklarını, ayrıca üçüncü kişilere ilgili kişilerin kişisel verilerini aktarmadıklarını belirtmiştir. Yönetim şirketinin kullandıklarını belirttiği uygulama için uygulama hizmetini sunan şirket ise yönetim şirketi ile yaptıkları sözleşmeye göre, platform değişikliği veya ek platform kullanımının mümkün olduğunu, buna dayanarak ilgili kişilerin kişisel verilerinin otomatik olarak yeni platforma (şikâyete konu platform) aktarıldığını ancak kendisinin veri işleyen konumunda olduğunu ifade etmiştir. Kurul, yönetim şirketinin veri sorumlusu ve uygulama hizmeti sunan şirketin veri işleyen olduğunu belirtmiş, ikinci bir uygulamaya veri aktarımının yönetim işleri dışında bir amaca hizmet etmesi ve opsiyonel olması sebebiyle ilgili kişinin açık rıza beyanı ile gerçekleştirilmesi gerektiğini değerlendirmiştir. Kurul, sayılan sebeplerle, ilgili kişinin açık rıza beyanının olmaması sebebiyle veri sorumlusu yönetim şirketine, kişisel verileri hukuka aykırı olarak işlediği gerekçesiyle 100.000 TL idari para cezası uygulanmasına karar vermiştir.




Hasta Dosyalarının Çalındığı Bir Hastaneye Yeterli İdari ve Teknik Tedbirleri Almadığı ve İhlali Derhal Bildirmediği Gerekçesiyle Toplan 600.000 TL İdari Para Cezası Verildi

Bir hastane tarafından yapılan veri ihlal bildiriminde 789 adet hasta dosyasının poşetlerle hastane dışına çıkarıldığı, bunlardan 54 tanesinin geri alınabildiği belirtilmiştir. Hastane çalışanları aracılığıyla gerçekleşen bu veri ihlaline ilişkin olarak Kurul, hasta kayıtlarına yetkisiz kişilerin erişebildiğini, başhekimin izni olmaksızın bu dosyaların dışarı çıkarılabildiğini dolayısıyla fiziksel ortam güvenliğini sağlayacak yeterli idari tedbirlerin alınmadığını, ihlalden etkilenen ilgili kişilerin, özel nitelikli kişisel verileri de sızmış olduğundan olumsuz etkilere maruz kalma ihtimalinin olduğunu, hastane çalışanlarına kişisel verilerin korunmasına yönelik olarak yeterli eğitimin verilmediğini, ihlalin geç tespit edilmesinden hareketle politika ve prosedürlerin veya bunların uygulamasının yetersiz olduğunu ve mevcut önlemlerin etkin kullanılamadığını değerlendirmiştir. Bu doğrultuda, hastaneye, veri güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almadığı için 450.000 TL idari para cezası verilmiştir. Ayrıca, Kurulun, veri ihlalinin en kısa sürede bildirilmesi gerekliliğini 72 saat olarak yorumladığı 24.01.2019 tarih ve 2019/10 sayılı kararına aykırı olarak 25 gün sonra bildirilmesi sebebiyle 150.000 TL idari para cezası uygulanarak ilgili kişilere ihlal hakkında bildirim yapılması ve Kurula bilgilendirme yapılması konusunda veri sorumlusu hastanenin talimatlandırılmasına karar verilmiştir.




Bir Sigorta Şirketine Açık Rıza ve Aydınlatma Yükümlülüklerini Mevzuata Uygun Yerine Getirmediği Gerekçesi ile İdari Para Cezası Kesildi

Somut olayda sigorta şirketi müşterisi, daha önceden şirket ile imzaladıkları sigorta poliçesi bilgilerini öğrenmek amacıyla şirketin internet sayfasına giriş yapmaya çalıştığında önüne onay kutucuğu çıktığı, kutunun işaretlenmemesi sonucunda işlem yapılamadığı ve kişisel verilerin işlenmesinin zorunlu bırakıldığı iddiasıyla Kuruma başvuruda bulunmuştur. Daha sonrasında Kurum incelemelere başlamıştır.


Şirketin internet sayfasında bulunan “online işlemler” linkine tıklandığında sisteme giriş için kutucukların çıktığı ve bu kutucukların altında; “Gizlilik ve Kişisel Verilerin Korunması Esasları’nı okudum, kabul ediyorum. Burada paylaşmış olduğum kişisel/özel nitelikli kişisel verilerimin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde işlenmesine açık rıza veriyorum.” ifadesine yer verildiği görülmüştür. “Gizlilik ve Kişisel Verilerin Korunması Esasları” linkinin üzerine tıklandığında ise aydınlatma metninin açıldığı fark edilmiştir. Ancak bu aydınlatma metni veri sorumlusunun savunması yazısında belirttiği iki farklı linkteki aydınlatma metinleriyle aynı olduğu, dolayısıyla aydınlatma metni ve açık rıza metinlerinin aynı olduğu saptanmıştır. Veri işlenmesinin hizmet şartına bırakıldığı iddiasını da Kurum incelemiştir. Şirketin 4682 sayılı Bireysel Emeklilik Tasarruf ve Yatırım Sistemi Kanununun 4. maddesi ve 09.11.2012 tarihli Resmî Gazetede yayımlanan Bireysel Emeklilik Sistemi Hakkında Yönetmeliğin (BES Yönetmeliği) 3 üncü maddesinin birinci fıkrasının (z) bendine göre açık rıza almasının zorunlu olmadığı anlaşılmıştır. Tüm bu nedenlerle şirkete 250.000 TL idari para cezası kesilmiştir.




Hollanda Veri Koruma Otoritesi Autoriteit Persoonsgegevens’den (“AP”) Locatefamily.com adlı siteye 525.000 Euro’luk idari para cezası uyguladı

Locatefamily.com platformu kullanıcılarına, iletişimlerini veya bağlantılarını kaybettikleri aile üyelerini veya arkadaşlarını bulma hizmeti veriyor. Tahmin edilebileceği üzere birçok kişinin verisini bulunduran platforma bazı kullanıcılar, izinleri olmamasına rağmen isimleri, adresleri telefon numaraları gibi verilerin yayınlandığı nedeniyle şikâyette bulundu. Otorite tarafından yapılan inceleme sonucunda, kullanıcılara sunulan herhangi bir veri işlenip işlenmediğini öğrenme, verileri işlenmişse buna ilişkin bilgi talep etme veya kişisel verilerin silinmesini veya yok edilmesini isteme formlarının bulunmadığı ortaya çıktı. Form olmasa da kullanıcılar tarafından e-mail veya aranarak yapılan başvurular ise sonuçsuz kaldı. Bunun sebebi ise Locatefamily.com platformunun Avrupa Birliği içerisinde herhangi bir temsilcisinin olmaması şeklinde belirtildi. Toplamda 700.000 kişinin etkilendiğini belirten otorite, platforma 525.000 Euro’luk idari para cezası uyguladı. Bunun yanında temsilci atamasını da talimatlandıran otorite, platformun temsilci atayana kadar haftalık 20.000 Euro, maksimum 120.000 Euro idari para cezası ödemesine karar verdi.



GÜNCEL HABERLER




BtcTurk Veri İhlali Bildiriminde Bulundu

Kripto para alım satım platformu BtcTurk olarak bilinen Eliptik Yazılım ve Ticaret AŞ, sosyal medyadaki etkileşimler sonucunda veri ihlali yaşandığını öğrendi ve Kişisel Verilerin Korunması Kurumuna bildirimde bulundu. BtcTurk, 2018 yılında yaşanan veri ihlalinin, aktarımı gerçekleştirilecek veri setlerinin depolandığı ortamda meydana gelen güvenlik açığı sebebiyle olduğunun düşünüldüğünü belirtti. Öte yandan, söz konusu verilerden bazılarının 2018 yılında, illegal bir veri paylaşım sitesinde yayımlanmış olduğu bildirildi. İhlalden 516.954 kişi etkilenirken bu kişilerin ad-soyadı, doğum tarihi, TC Kimlik Numarası ve Kullanıcı numaraları / ID’si; e-posta adresi, cep telefonu numarası, adresi; kullanıcıların olay tarihinden önceki döneme ait IP adresi, BtcTurk hesaplarına olay tarihinden önceki son giriş tarihi ve kullanıcıların, mevcut teknolojik imkânlarla geri döndürülemez şekilde maskelenmiş olay tarihinden önceki döneme ait giriş şifreleri verileri etkilenmiştir.




Türkiye'de İlk Kez Blockchain Teknolojisi Kullanılarak Canlı Dış Ticaret İşlemi Gerçekleştirildi

Türkiye İş Bankasının aracılık ettiği ithalata ilişkin sipariş, Marco Polo platformu üzerinden akıllı sözleşme ile oluşturuldu. İş Bankası, 2020 yılında 2 kez blockchain teknolojisini test etti ve sonunda blockchain teknolojisi ile dış ticarete aracılık ederek Türkiye’de bir ilke imza attı. Banka adına yapılan açıklamada blockchain teknolojisi ve akıllı sözleşmelerin taraflara hız ve güven sağladığı belirtildi.




Whatsapp Gizlilik Sözleşmesi Değişikliğinde Geri Adım Attı

2021 yılının en çok konuşulan haberlerinden biri olan Whatsapp gizlilik sözleşmesi değişikliğinde gelişmeler yaşanmaya devam ediyor. Bilindiği üzere WhatsApp gizlilik sözleşmesinde değişikliğe gitmiş ve verilerin Facebook’a aktarılacağını belirtmişti. Kabul etmeyen kullanıcılara ise daha fazla hizmet verilmeyeceğini belirtmişti. Ancak Whatsapp Avrupa Birliği ve Amerikadaki kullanıcıları bundan muaf tutmuştu. Dünyanın geri kalanından büyük tepkiler toplayan Whatsapp, Hindistan, Almanya ve Türkiye rekabet ve bilgi teknolojileri kurumlarından verilen kararlardan sonra geri adım attı. Hindistan, Almanya ve Türkiye Rekabet Kurumları tedbir kararları alarak yeni güncellemeyi engellemişlerdi. İngiliz Telegraph gazetesine konuşan bir yetkili gizlilik sözleşmesini kabul etmeyen kullanıcıların herhangi bir yaptırımla karşı karşıya kalmayacağını bildirildi.




Siber Güvenlik Şirketi Barikat Tarafından Gerçekleştirilen Bilgi Teknolojileri Güvenliği Testi Sonuçları Bilgisayar Korsanları Tarafından Ele Geçirildi

Müşterilerine siber güvenlik hizmeti veren şirketin yaptığı sızma testi, bilgisayar korsanları tarafından yasadışı yollarla internette yayınlandı. Şirketin müşterilerinden bazılarının TCDD, BOTAŞ, Türk Hava Yolları gibi önemli kurumların olması ise dikkat çekti. Tehdidin 22 Nisan’da tespit edildiğini belirten şirket, güncelliğini yitirmiş, geçmiş dönemlere ait belgelerin internette paylaşıldığını açıkladı. Şirket ayrıca güvenlik sistemlerinin, ele geçirilmesi, uzaktan erişimle izinsiz girilmesi veya siber saldırıya maruz kalması gibi olaylar ile bilgi hırsızlığı suçunun oluşmadığını söyledi. Ulusal Siber Olaylara Müdahale Merkezi ile birlikte yürütülen çalışma ile bilgisayar korsanlarının izleri bulunmaya çalışılıyor.


KAYNAKÇA

(1) Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/359 sayılı Kararı

(2) Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/407 sayılı Kararı

(3) Kişisel Verileri Koruma Kurulunun 20/04/2021 tarihli ve 2021/389 sayılı Kararı

(4) https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-imposes-fine-%E2%82%AC525000-locatefamilycom

(5) https://kvkk.gov.tr/Icerik/6970/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Eliptik-Yazilim-ve-Ticaret-AS-BtcTurk-

(6) https://www.hurriyet.com.tr/teknoloji/is-bankasindan-blockchain-teknolojisiyle-dis-ticarette-bir-ilk-41819656

(7) https://www.telegraph.co.uk/technology/2021/05/29/whatsapp-will-no-longer-punish-refuse-new-privacy-policy/

(8) https://www.sozcu.com.tr/2021/teknoloji/17-kurumun-bilgileri-sizdirildi-6393967/


YAZAR

Bilgi Teknolojileri Ekibi