KVKK Bülteni 5. Sayı

Güncelleme tarihi: Ağu 27



Kurum ve Yargı Kararları


Güvenli Ülke Kavramı Aktarılacak Ülkenin Mevzuatına Göre Değerlendirilmelidir

Kişisel Verileri Koruma Kurulu (“KVKK”), 22.07.2020 tarihli ve 2020/559 kararı uyarınca, bir otomotiv firmasının dijital pazarlama işlerinde kullandığı web tabanlı yazılım aracılığıyla yurtdışında bulunan bir bulut veri tabanına müşterilerinin birtakım kimlik ve iletişim bilgilerinin aktarılması halinin; ilgili verilerin işlenmesinde geçerli bir meşru menfaatin bulunmaması ve sunulan belgelerin aktarımın gerçekleştiği ülkeye güvenli ülke statüsü kazandırmaya yeterli olmaması dolayısıyla “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünün ihlali olduğuna kanaat etmiştir. Ayrıca 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi’ne taraf olmanın, aktarım yapılacak ülkenin aktarılan veriler açısından yeterli korumaya sahip olduğuna yönelik bir gösterge olmadığı belirtilerek; ‘güvenli ülke’ kavramının o ülkedeki veri koruma mevzuatı kapsamında algılanması gerektiği ifade edilmiştir. Veri sorumlusu hakkında 900.000 TL idari para cezası uygulanmasına ve aydınlatma ile açık rızanın alınmasının ayrı süreçlerde gerçekleştirilmesine karar verilmiştir.


Çocuk Yasası Yürürlüğe Girdi

İngiltere Bilgi Komiserliği Ofisi’nin (“ICO”) “Çocuk Yasası” olarak bilinen “Yaşa Uygun Tasarım Yasası” 2 Eylül 2020 tarihinde kabul edildi. 12 aylık geçiş dönemi sonunda yürürlüğe girecek olan yasa ile amaçlanan, Internet kullanımında yetişkinlere göre daha savunmasız olan çocukların verilerinin daha kapsamlı şekilde korunmasıdır. ICO tarafından yapılan açıklamaya göre, kabul edilen “Çocuk Yasası” bir kanundan ziyade var olan mevzuata çocuklara özel yeni standartlar getirmeyi amaçlayan bir dizi kurallardan ibarettir. Örneğin, çocukların uzaktan eğitim için kullandığı çevrimiçi platformların en az kişisel veriyi saklayacak şekilde tasarlanması ve yüksek güvenlik ayarlarının sağlanması bu standartların temelini oluşturmaktadır.


Canlı Satış ve Pazarlama İçin Açık Rıza Alınmalıdır

Temmuz ve Ağustos aylarında yaptığı kapsamlı inceleme sonucunda, İngiltere Bilgi Komiserliği Ofisi (“ICO”) iki İngiliz menşeili şirket aleyhine 90.000 Sterlin tutarında para cezasına karar verdi. Müşterilerin istenmeyen canlı satış ve pazarlama görüşmelerinden vazgeçmelerine imkan tanıyan Telefon Tercihi Hizmeti’ne (“TPS”) kayıtlı 270.774 kişiyle istenmeyen telefon görüşmeleri gerçekleştirdiğini tespit etti. Hükmedilen para cezası, müşterilerin canlı satış ve pazarlama görüşmeleri için açık rızasının alınması ve bu rıza dahilinde alınan verilerin mevzuata uygun şekilde muhafaza edilmesinin gerekliliğini ortaya koydu.


Aktif Olmayan Müşterilerin Verisi Saklanmamalıdır

Fransız Veri Koruma Otoritesi (CNIL) 5 Ağustos 2020 tarihinde ilk cezai kararını verdi. 13 farklı Avrupa ülkesinde faaliyet gösteren ‘Spartoo’ adındaki online ayakkabı perakendecisine 250.000 Euro para cezası verildi. Spartoo’ya verilen cezanın esas dayanağı, müşterilerin telefonla siparişlerinde kart bilgilerinin kaydedilmesi ve saklanması sonucunda Avrupa Birliği Veri Koruma Tüzüğü’nin (GDPR) ihlal edilmiş olmasıydı. Kart bilgisi saklanan 25 milyondan fazla potansiyel müşterinin üç yıldan fazla süredir aktif olmamalarına karşın, bilgilerin saklanmaya devam edildiği inceleme sonucunda ortaya çıktı.

Haberler


Özel Nitelikli Fiziksel Belgeler Belli Süre Sonunda İmha Edilmelidir

Danimarka Veri Koruma Ajansı, Ağustos ayında kendisine karşı veri ihlali bildiriminde bulundu. Söz konusu ihlal, vatandaşlar hakkında özel nitelikli veri içeren fiziksel belgelerin GDPR uyarınca imha edilmesi gerekirken, Kurum nezdinde hâlâ saklanmaya devam edilmesine ilişkindi. Bu ihlal bildirimi ile ilgili şaşırtıcı olan bir diğer durum ise, veri ihlal bildirimini yayımlamak için gerekli 72 saatlik sürenin de aşılmış olmasıydı.


Marriott Mağdurları Toplu Dava Açtı

Ünlü otel zinciri Marriott International’ın 2018 yılında konuk rezervasyon veri tabanında yer alan 2014 ile 2018 arasında otelde kalan milyonlarca misafirin kaydına dışarıdan erişim sağlandığı tespit edilmişti. Bu skandaldan Sheraton gibi rağbet gören başka oteller de kümülatif olarak etkilenmişti. Geçtiğimiz Ağustos ayında Londra Yüksek Mahkemesi’nde gazeteci Martin Bryant tarafından İngiltere ve Galler’deki mağdurlar adına toplu dava açıldı.


Kimlik Paylaşımı Sistemi Yönetmeliği Yürürlüğe Girdi

20 Ağustos 2020 tarihinde “Kimlik Paylaşımı Sistemi Yönetmeliği” yürürlüğe girdi. Yönetmelik, KVKK ile paralel nitelikte olup, kamu kurum ve kuruluşları ile kamu hizmeti sunan meslek kuruluşları bakımından birtakım yenilikler getirdi. Özellikle VERBİS kaydı aşamasındaki bu kurumlar için erişim yetkilerinin belirlenmesi, takibi, risk yönetimi açısından veri işleme envanterinin önemi vurgulandı. Envanterde veri işleme amaçları, bu amaçların yasal dayanağı, güvenlik tedbirleri, verilerin paylaşılacağı birim ve kurumlar ile bu gruplar arasındaki rücu ilişkilerinin belirlenmesinin gerekliliği ortaya kondu.


TikTok’u Yasaklayan Tasarı Onaylandı

ABD Başkanı Donald Trump’ın 3 Ağustos’ta yaptığı açıklamada, Çin menşeili sosyal medya platformu TikTok’un 15 Eylül 2020 itibariyla yasaklanacağı açıklanmıştı. TikTok’un Amerikan halkı için büyük bir ulusal güvenlik riski teşkil ettiği gerekçesiyle, ABD senatosu kamu personeline TikTok’u cihazlarına indirmelerini ve kullanmalarını yasaklayan tasarıyı onadı.

Güncel Yayınlar




YAZAR

Bilgi Teknolojileri Birimi