KVKK Bülteni 17. Sayı

Güncelleme tarihi: Eyl 1


İÇİNDEKİLER


KURUM KARARLARI

1- KİŞİSEL VERİLERİ KORUMA KURUMU, AVUKATLARIN İCRA TAKİP DOSYALARINDAKİ KİŞİSEL VERİLERE HUKUKA AYKIRI OLARAK ERİŞİM SAĞLADIĞINA VE BU VERİLERİN AVUKATLARA HUKUKA AYKIRI OLARAK AKTARILDIĞINA İLİŞKİN İHBARLAR HAKKINDA KARAR VERDİ

2- KİŞİSEL VERİLERİ KORUMA KURUMU, BİLGİSAYAR OYUNLARI ALANINDA FAALİYET GÖSTEREN VERİ SORUMLUSUNUN VERİ İHLALİ BİLDİRİMİ HAKKINDA KARAR VERDİ

3- AVUSTURYA VERİ KORUMA OTORİTESİNDEN MÜŞTERİ SADAKAT PROGRAMI KULLANAN ŞİRKETLERİ İLGİLENDİREN ÇOK ÖNEMLİ BİR KARAR VERİLDİ

4- İTALYA VERİ KORUMA OTORİTESİ GARANTE’DEN LOKASYON VERİLERİ HAKKINDA ÖNEMLİ KARAR


GÜNCEL HABERLER

1- TELEKOMÜNİKASYON ŞİRKETİ T-MOBILE YAKLAŞIK 50 MİLYON KİŞİNİN VERİLERİNİN SIZDIRILDIĞINI KABUL ETTİ

2- KİŞİSEL VERİLERİ KORUMA KURUMU 12-14 KASIM 2021 TARİHLERİNDE 1. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİNİ GERÇEKLEŞTİRECEK

3- AVRUPA BİRLİĞİNDEN BİRLEŞİK KRALLIĞA VERİ AKIŞINA KOŞULLU ŞEKİLDE DEVAM EDİLMESİ KARAR VERİLDİ


KURUM KARARLARI



KİŞİSEL VERİLERİ KORUMA KURUMU, AVUKATLARIN İCRA TAKİP DOSYALARINDAKİ KİŞİSEL VERİLERE HUKUKA AYKIRI OLARAK ERİŞİM SAĞLADIĞINA VE BU VERİLERİN AVUKATLARA HUKUKA AYKIRI OLARAK AKTARILDIĞINA İLİŞKİN İHBARLAR HAKKINDA KARAR VERDİ

Kuruma gelen ihbarlarda alacaklı avukatının; borçlunun icra dairesindeki dosyalarını inceleyebildiği, örnek alınmasa dahi erişimlerinin yetkisiz olduğu, icra tevzi bürosu çalışanları tarafından yapılan aktarım ve avukatların vekalet sunmaksızın dosyalara erişim sağlamalarının Kişisel Verilerin Korunması Kanununa aykırı olduğu belirtilmiştir. Kurul; avukatın borçlunun her türlü mal varlığını, hak ve alacağını sorgulama hakkını düzenleyen 2004 sayılı İcra ve İflas Kanunu ve avukat ve stajyer avukatların dava takip dosyalarını inceleme taleplerinin yerine getirilmesini düzenleyen 1136 sayılı Avukatlık Kanunu gereğince söz konusu veri işleme faaliyetlerinin kanunlarda öngörülmüş olması sebebiyle gerçekleştiği ve KVKK’ye aykırılık olmadığı için yapılacak bir işlem bulunmadığına karar vermiştir. (1)


KİŞİSEL VERİLERİ KORUMA KURUMU, BİLGİSAYAR OYUNLARI ALANINDA FAALİYET GÖSTEREN VERİ SORUMLUSUNUN VERİ İHLALİ BİLDİRİMİ HAKKINDA KARAR VERDİ

Kuruma gelen veri ihlali bildiriminde, web geliştirici eski çalışan tarafından kaynak kodla veri dosyaları içeren bir klasörün yetkisiz bir şekilde github.com internet sitesine yüklendiği, yapılan incelemede klasörde yer alan dosyalarda kullanıcıların bir alt kümesine ait kimliği belirli kılabilecek bilgilerin bulunabileceği tespit edilmiş; ancak bu verilerin çoğunun bot hesaplara ait olduğu, inceleme detaylandırıldığında hem gerçek hesaplara hem bot hesaplara ilişkin veriler olduğu, bilindiği kadarıyla verilerin github.com’dan kaldırıldığı ya da kamu erişimine kapalı hale geldiği, ihlalden 62 kişinin etkilendiği, içlerinde çocukların da olduğu kimlik, iletişim, lokasyon gibi bilgilerin ihlalden etkilendiği belirtilmiştir. Kurul; yaşanan ihlale bir güvenlik açığının sebep olduğu, ihlalin tespitinin yaklaşık 2 yıl sonra mümkün olmasının veri sorumlusunun gerekli teknik ve idari tedbirleri almakta yetersiz kaldığını gösterdiği, veri sorumlusunun çok sayıda politika imzalatmış olmasına karşın söz konusu çalışanın kişisel veri içeren dosyaları kendi depolama aygıtına kopyalayabilmiş olmasının politikaların etkin şekilde uygulanmadığı ve yeterli farkındalık sağlanmadığını gösterdiği gerekçeleriyle gerekli teknik ve idari tedbirlerin alınmaması sebebiyle 100.000 TL ve ihlalin tespitinden sonra derhal bildirilmemesi nedeniyle 30.000 TL idari para cezası uygulanmasına karar vermiştir. (2)




AVUSTURYA VERİ KORUMA OTORİTESİNDEN MÜŞTERİ SADAKAT PROGRAMI KULLANAN ŞİRKETLERİ İLGİLENDİREN ÇOK ÖNEMLİ BİR KARAR VERİLDİ

Müşterilerine daha iyi bir bir hizmet verebilmek için sadakat programı kullanan “Unser Ö-Bonus Club GmbH” adlı şirkete Avusturya Veri Koruma Otoritesi (“DSB”) 2.000.000 (iki milyon) Euro’luk idari para cezası kesti. Otoriteden yapılan açıklamaya göre şirket, müşterilerin alışveriş geçmişi ve davranışlarından yola çıkarak müşteri profillerini çıkartırken aydınlatma yükümlülüğünü Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uygun bir şekilde yerine getirmedi. Bilindiği üzere GDPR’a göre aydınlatma ilgili kişiler tarafından basitçe erişilebilir ve anlaşılması kolay olmalıdır. Ancak şirket, sadakat programına kayıt olmak isteyen müşterilerine yönelik hazırladığı internet sitesindeki aydınlatma metnini sadece en alta kaydırıldıktan sonra ulaşılabilir şekilde tasarladı. Bununla beraber açık rıza metni ise en üstte belirmekteydi. Şirketin mağazalarda kullandığı açık rıza metni profil çıkarmaya yönelik açık rızayı teşkil etse de sadakat programına kayıt olmak için kullanılıyor gibi gösteriliyordu. Bu nedenle DSB açık rızaları geçersiz ve buna dayalı yapılan profillemeleri de hukuka aykırı bulmuştur. (3)




İTALYA VERİ KORUMA OTORİTESİ GARANTE’DEN LOKASYON VERİLERİ HAKKINDA ÖNEMLİ KARAR

İtalyan Veri Koruma Otoritesi (“Garante”) yemek dağıtım hizmeti veren şirkete yaklaşık 8000 işçinin verisini hukuka aykırı işlediğinden 2.500.000 (iki milyon beş yüz bin) Euro idari para cezası verdi. Garante'nin soruşturması sonucunda çok sayıda ciddi veri koruma ihlalleri ortaya çıktı. Şirket kurduğu merkezi bir sistemle hem iş atamalarını yapıyor hem de vardiyaları ayarlıyabiliyordu. Bu sistemse işçilerin telefonlarına yüklenen programla koordine ediliyordu. Garante, veri sorumlusunun işçilerin telefonuna yüklenen uygulama hakkında yeterince bilgilendirme yapmadığı belirtti. Ayrıca programda performans değerlendirme de kullanılıyordu. Ancak Garante, şirketin performans değerlendirme sonuçlarının doğruluğunu kontrol etmediğinden dolayı da haksız buldu. Bunlara ek olarak şirketin, sürücülerin performansını değerlendirmek için gereğinden çok veri işlendiği Garante tarafından tespit edildi. Buna göre uygulama her 12 saniyede bir lokasyon verisinin işlenmesini sağlıyordu. Tüm bu sebeplerle Garante yemek dağıtım şirketine ağır bir yaptırım uyguladı. (4)


GÜNCEL HABERLER



TELEKOMÜNİKASYON ŞİRKETİ T-MOBILE YAKLAŞIK 50 MİLYON KİŞİNİN VERİLERİNİN SIZDIRILDIĞINI KABUL ETTİ

T-Mobile tarafından yapılan açıklamaya göre, yetkisiz kişilerin sistemlere erişerek çaldığı veriler arasında kişisel veriler de bulunuyor. İhlalden etkilenen yaklaşık 7,8 milyon faturalı müşteri, 850 bin ön ödemeli müşteri ve 40 milyon eski veya potansiyel müşteri olduğu belirtiliyor. Sızan veriler arasında kimlik bilgileri, telefonları tanımlayıcı IMEI ve IMSI bilgileri gibi veriler yer alıyor. Yapılan açıklamada T-Mobile, müşterilerini korumak adına gerekli önlemleri aldığını ve ihlalden etkilenen müşteriler için destek sağladığını belirtti. (5)


KİŞİSEL VERİLERİ KORUMA KURUMU 12-14 KASIM 2021 TARİHLERİNDE 1. ULUSLARARASI KİŞİSEL VERİLERİ KORUMA KONGRESİNİ GERÇEKLEŞTİRECEK

Kurum’un davet ilanında bulunduğu kongrede, kişisel verilerin korunması ana başlığı altında dünya ve Türkiye’deki gelişmeler ele alınacak. Veri temelli ekonomi anlayışı, dijital veri işleme ve koruma, veri madenciliği, yapay zeka ve kişisel verilerin işlenmesi gibi konuların işleneceği kongre için özet bildirilerin son gönderim tarihi 15 Eylül 2021 olarak belirlendi. 12-13-14 Kasım 2021’de gerçekleşecek olan kongre, çevrimiçi oturumlarla Kişisel Verileri Koruma Kurumu dijital kaynakları ve sosyal medya hesaplarından erişilebilir olacaktır. (6)




AVRUPA BİRLİĞİNDEN BİRLEŞİK KRALLIĞA VERİ AKIŞINA KOŞULLU ŞEKİLDE DEVAM EDİLMESİ KARAR VERİLDİ

Avrupa Birliği, Birleşik Krallığa veri akışının devam edilmesini Avrupa Komisyonu’nun veri yeterliliğine dair iki farklı karar almasından sonra devam edileceğini açıkladı. Verilen karara göre veri akışı dört sene daha devam edecek. Dört sene sonunda veri akşının durdurulacağını belirten Avrupa Birliği, verinin aktarılmasının devamı için İngiltere’nin gerekli veri koruma seviyesine çıkması ve gerekli önlemleri alması gerektiğini belirtti. Brexit sonrası geçiş dönemi bu ay sona erdikten sonra, Birleşik Krallık sınırlarındaki şirketler veri akışını sürdürmek için AB'deki şirketlerle maliyeti yüksek alternatif hazırlıklar yapmak zorunda kalacaklar. Kararı memnuniyetle karşılayan İngiltere hükümeti, "kişisel verilerin global olarak ve ülkeler arasında serbest akışını teşvik etmeyi planladığını" söyledi. Brexit sonrası düzenlemelerin kontrolü için İngiltere Veri Koruma Otoritesi ICO’nun başına Yeni Zelanda’da bulunan Veri Gizliliği Kurumu’nun başındaki John Edward atandı. (7)


(1) https://kvkk.gov.tr/Icerik/7022/2021-511-512-513

(2) https://kvkk.gov.tr/Icerik/7027/2020-345

(3) https://www.derstandard.at/story/2000128639162/joe-bonusclub-soll-millionenstrafe-zahlen

(4) https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9685994

(5) https://www.t-mobile.com/news/network/additional-information-regarding-2021-cyberattack-investigation

(6) https://kongre.kvkk.gov.tr/

(7) https://www.bbc.com/news/technology-57641667

(7) https://www.bbc.com/news/technology-58340333


YAZAR

Bilgi Teknolojileri Ekibi