KVKK Bülteni 19. Sayı

Güncelleme tarihi: 2 Kas 2021


İÇİNDEKİLER


KURUM KARARLARI

1- KİŞİSEL VERİLERİ KORUMA KURUMU UNUTULMA HAKKINA İLİŞKİN OLARAK YENİ BİR KİTAPÇIK YAYINLADI

2- KİŞİSEL VERİLERİ KORUMA KURUMU PANASONIC BUSINESS SUPPORT EUROPE GMBH HAKKINDA VERİ İHLALİ BİLDİRİMİ YAYINLADI

3- NORVEÇ VERİ KORUMA OTORİTESİ (DATATILSYNET), ØSTRE TOTEN BELEDİYESİ’NE VERİ İHLALİNDEN DOLAYI 412.000 EURO CEZA VERDİ

4- İRLANDA VERİ KORUMA KOMİSYONU FACEBOOK’A AVRUPA GENEL VERİ KORUMA TÜZÜĞÜ’NÜN (GDPR) İLKELERİNİ İHLAL ETTİĞİ GEREKÇESİYLE 36 MİLYON EURO CEZA VERİLMESİNİ ÖNERDİ

GÜNCEL HABERLER

1- HİNDİSTAN KARMA PARLAMENTO KOMİTESİ’NİN (JOINT PARLIAMENTARY COMMITTEE) (JPC), KİŞİSEL VERİLERİ KORUMA KANUNU TASLAĞINI 6 KASIM’DA PARLAMENTO ÜYELERİNE SUNACAĞI DUYURULDU

2- BİRLEŞİK KRALLIK’TA YER ALAN OKULLAR YEMEKHANE SERVİSİ İÇİN YÜZ TANIMA SİSTEMLERİ KULLANIMINA BAŞLADI

3- BİLGİ KOMİSYONU OFİSİ (INFORMATION COMMISSIONER’S OFFICE) (ICO) YAŞANAN VERİ İHLALİ NEDENİYLE HIV SCOTLAND’A 10.000 POUND CEZA VERDİ

4- AVRUPA VERİ KORUMA KURULU, AVRUPA KOMİSYONU’NUN GÜNEY KORE CUMHURİYETİ HAKKINDA VERMİŞ OLDUĞU TASLAK YETERLİLİK GÖRÜŞÜNÜ KABUL ETTİ


KURUM KARARLARI


KİŞİSEL VERİLERİ KORUMA KURUMU UNUTULMA HAKKINA İLİŞKİN OLARAK YENİ BİR KİTAPÇIK YAYINLADI



İlgili kitapçık temel anlamda son dönemde yeniden gündemde olan unutulma hakkının arama motorları özelinde değerlendirilmesi amacıyla oluşturuldu. Kitapçığın içeriği unutulma hakkının ulusal ve uluslararası hukuktaki yeri, Kişisel Verilerin Korunması Kanunu’na ve Kurul’un 23/06/2020 tarihli ve 2020/481 sayılı Kararı’na göre incelenmesi gibi başlıklardan oluşmakta. En dikkat çekici kısımlardan biri ise kamuoyu tarafından yeterince bilgi sahibi olunamayan ilgili kişinin hakkını nasıl arayacağına dair verilen bilgiler. [1]


 

KİŞİSEL VERİLERİ KORUMA KURUMU PANASONIC BUSINESS SUPPORT EUROPE GMBH HAKKINDA VERİ İHLALİ BİLDİRİMİ YAYINLADI



Kişisel Verilerin Korunması Kanunu’nun 12.maddesinin 5. fıkrasına dayanılarak yapılan ve veri sorumlusu tarafından Kurum’a gönderilen bildirime göre 9.07.2021, 16.08.2021 ve 17.09.2021 tarihlerinde veri ihlalleri gerçekleşti. Söz konusu veri ihlallerinin toplamda 70.000 kaydı etkilediği ve ilgili kişilerin ad soyad, iletişim bilgileri, fotoğraf ve video gibi verilerini kapsadığı belirtildi. İhlalden etkilenen kişiler ise Kurum’un web sitesinde şu şekilde sıralandı: “Türkiye'deki Panasonic Telefon Yardım Hattı ile Aralık 2009 ve Mayıs 2012 arasında iletişime geçen tüketiciler, 2012 ve 2014 yılları arasında Panasonic ürünleri için servis talepleri olan tüketiciler, 2009 ve 2014 yılları arasında Panasonic için çalışan servis merkezleri çalışanları”.[2]


 

NORVEÇ VERİ KORUMA OTORİTESİ (DATATILSYNET), ØSTRE TOTEN BELEDİYESİ’NE VERİ İHLALİNDEN DOLAYI 412.000 EURO CEZA VERDİ



Ocak 2021 tarihinde gerçekleşen siber saldırı sonucu Østre Toten Belediyesi’ne ait verilerin şifrelendiği ve yedeklerin silindiği Datatilsynet tarafından tespit edildi. Söz konusu saldırıdan 30.000’e yakın belgenin etkilendiği ve büyük miktarda verinin Dark Web’de yayınladığı bilgisine erişildi. Belgelerin içeriğinde özel nitelikli kişisel veri niteliğindeki etnik köken, cinsel yönelim ve sağlık verileri gibi verilerin yanı sıra çalışanlara ait banka bilgilerinin de bulunduğu bilinmekte. Datatilsynet veri güvenliğinin sağlanmasında gerekli idari ve teknik tedbirlerin alınmadığını tespit ederek (Art. 5 (1) f) GDPR, Art. 32 GDPR) veri sorumlusu olan belediyeye 412.000 Euro tutarında bir yaptırım uyguladı. [3]


 

İRLANDA VERİ KORUMA KOMİSYONU FACEBOOK’A AVRUPA GENEL VERİ KORUMA TÜZÜĞÜ’NÜN (GDPR) İLKELERİNİ İHLAL ETTİĞİ GEREKÇESİYLE 36 MİLYON EURO CEZA VERİLMESİNİ ÖNERDİ



İrlanda Veri Koruma Komisyonu Facebook’un, Avrupa Veri Koruma Tüzüğü’nün temel ilkelerinden biri olan şeffaflık ilkesini açıkça ihlal ettiğini tespit etti. Avrupa Dijital Haklar Merkezi’nin kurucusu olan ve aynı zamanda davada davacı sıfatını taşıyan Max Schrems’e göre Facebook veri kullanımına ilişkin anlaşmanın başlığını “sözleşme”(contract) olarak değiştirerek tüzüğün kurallarını baypas etmeyi amaçlamakta. Schrems, Facebook’un söz konusu sözleşmeye yalnızca veri işleme hükmü ekleyerek tüm müşteri verilerini açık rıza olmaksızın işlediğini öne sürüyor. Avrupa Veri Koruma Otoritesi’nin tasarı kararı inceleyip son haline getirmesi bekleniyor. Öte yandan İrlanda Veri Koruma Komisyonu’nun kararına karşı görüş belirtecek birkaç üyenin de Avrupa Veri Koruma Otoritesi içerisinde yer aldığı yapılan tahminlerden biri. [4]


GÜNCEL HABERLER


HİNDİSTAN KARMA PARLAMENTO KOMİTESİ’NİN (JOINT PARLIAMENTARY COMMITTEE) (JPC), KİŞİSEL VERİLERİ KORUMA KANUNU TASLAĞINI 6 KASIM’DA PARLAMENTO ÜYELERİNE SUNACAĞI DUYURULDU



Hindustan Times gazetesinde yer alan habere göre Karma Parlamento Komitesinin kişisel verilerin korunmasına ilişkin taslak çalışması 6 Kasım itibariyle parlamentonun önüne gelecek ve kış aylarında görüşülecek. Elektronik ve Bilgi Teknolojileri Bakanı Rajeev Chandrasekhar verdiği demeçlerde önümüzdeki aylarda komite tarafından sunulan önerinin kanunlaşacağından ve yürürlüğe gireceğinden umutlu olduğunu belirtti. Chandrasekhar’a göre kanunun yürürlüğe girmesini veri koruma otoritesinin kurulması ve ilgili yönetim mimarisinin oluşturulması izleyecek. [5][6]


 

BİRLEŞİK KRALLIK’TA YER ALAN OKULLAR YEMEKHANE SERVİSİ İÇİN YÜZ TANIMA SİSTEMLERİ KULLANIMINA BAŞLADI



İskoçya ve Kuzey Ayrshire’da 9 okulda uygulamaya geçen ve yemekhanelere öğrencilerin yüz tanıma sistemi kullanarak giriş yapmasını amaçlayan sistem yetkililere göre işlem süresini azaltmakta ve işlemleri parmak izi, kredi kartı gibi yöntemlere nazaran daha güvenli hale getirmekte. Birleşik Krallık Bilgi Komisyonu Ofisi söz konusu uygulamanın gerekliliği ve ölçülülüğünün dikkatle incelenmesini ve buna göre bir değerlendirme yapılması gerektiğini belirtti. Ofis, ilgili kişilerin çocuklar olduğu durumlarda verilerin korunmasına ilişkin mevzuatın ek güvenlik önlemleri içerdiğine ve bu konuda daha az müdahaleci yöntemlerin tercih edilmesi gerektiğine dikkat çekti. Buna rağmen yemekhane kuyruklarının azaltılması adına yüz tanıma uygulamasına geçen okul sayısı gün geçtikçe artış göstermekte. [7][8][9]


 

BİLGİ KOMİSYONU OFİSİ (INFORMATION COMMISSIONER’S OFFICE) (ICO) YAŞANAN VERİ İHLALİ NEDENİYLE HIV SCOTLAND’A 10.000 POUND CEZA VERDİ



Yaşanan veri ihlali 105 farklı hastaya gönderilen mailleri içeriyor. Söz konusu maillerde 105 kişinin mail adresleri ile beraber bunlardan 65’inin isim ve soy isimleri yer almakta. Hastalığın önlenmesi ve farkındalığın artması adına faaliyet gösteren bir dernek olan HIV Scotland’ın her ne kadar ICO tarafından şubat ayında güvenlik açıkları tespit edilse de dernek, toplu mail ve veri koruma politikaları bakımından daha az güvenilir metodlara yönelmeye devam etti. ICO bölge başkanı Ken Macdonald, bütün kişisel verilerin önemli olduğuna ancak spesifik olarak HIV Scotland’ın faaliyet alanı için daha dikkatli olunması gerektiğine dikkat çekti. HIV Scotland’dan Alastair Hudson, cezanın küçük bir dernek için büyük bir miktar teşkil ettiğini belirtirken bu miktarı ICO’ya ödemeye çalışacaklarını ve sonrası için veri sorumlusu olarak gerekli idari ve teknik tedbirlerin alınacağını ifadelerine ekledi. [10]

 

AVRUPA VERİ KORUMA KURULU, AVRUPA KOMİSYONU’NUN GÜNEY KORE CUMHURİYETİ HAKKINDA VERMİŞ OLDUĞU TASLAK YETERLİLİK GÖRÜŞÜNÜ KABUL ETTİ



Avrupa Veri Koruma Kurulu, söz konusu kararı GDPR’ın temel prensiplerini, Avrupa Ekonomi Bölgesi içerisinden Güney Kore Cumhuriyeti’ne veri akışı sırasında uygulanacak kanunları ve ulusal güvenlik amaçlarını dikkate alarak aldığını belirtti. Kurul, Güney Kore’nin kişisel verilerin korunmasına ilişkin düzenlemelerinin temel anlamda Avrupa Birliği’ne paralellik gösterdiğinin altını çizerken birtakım konularda daha ayrıntılı düzenlemelere ihtiyaç olduğunu belirtti ve bu noktada Komisyon göreve çağrıldı. Kurul, “veri koruma kavramları”, “meşru amaçlar için hukuka uygun işleme temelleri”, “şeffaflık” gibi noktaların Avrupa Birliği ve Güney Kore arasındaki uyum açısından hayati önem taşıdığını belirtti. [11][12]


KAYNAKÇA

[1]https://kvkk.gov.tr/SharedFolderServer/CMSFiles/11b6fd99-d42a-45b1-a009-21f2d36ded21.pdf

[2]https://www.kvkk.gov.tr/Icerik/7060/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Panasonic-Business-Support-Europe-GmbH

[3]https://www.enforcementtracker.com/ETid-878

[4]https://iapp.org/news/a/irish-dpc-to-receive-22-budget-increase-for-2022/

[5]https://iapp.org/news/a/jpc-report-on-indias-data-protection-bill-likely-in-november/

[6]https://www.business-standard.com/article/technology/hope-data-protection-law-is-in-place-in-next-few-months-mos-it-121102101440_1.html

[7]https://iapp.org/news/a/students-use-facial-recognition-to-pay-for-school-lunches/

[8]https://www.theguardian.com/education/2021/oct/18/privacy-fears-as-schools-use-facial-recognition-to-speed-up-lunch-queue-ayrshire-technology-payments-uk

[9]https://www.euronews.com/next/2021/10/18/schools-in-scotland-start-using-facial-recognition-on-children-paying-for-lunch

[10]https://www.bbc.com/news/uk-scotland-59008366

[11]https://edpb.europa.eu/news/news/2021/edpb-adopts-opinion-draft-south-korea-adequacy-decision_en

[12]https://kisiselveriihlali.com/Anasayfa/category/kisisel-veri-koruma-genel/edpb/


YAZAR

Av. M. Murat Gülgün

Av. Nur Sena Sevindi

Stj. Av. İlayda Yüncü

Stj. Av. Berhan Sarılar

Stj. Av. Beyza Ece