KVKK Bülteni 7. Sayı

Güncelleme tarihi: Ağu 27



1. Kurum ve Yargı Kararları

  • Kişisel Verileri Koruma Kurulu’nun (“Kurul”) şikayet üzerine inceleme konusu yaptığı 2020/560 sayılı kararında, tüzel kişiliği haiz olmamasına karşın apartmanın, site ve benzeri yapılarda ise kat malikleri kurulunun veri sorumlusu olarak kabul edilebileceği ifade edilmiştir. Kat malikleri kurulunun ise veri sorumlusu olarak yönetici de dahil olmak üzere bir kişiyi görevlendirebileceği değerlendirilmiştir.


  • Fransız Veri Koruma Kurulu (“CNIL”) GDPR uyumlu çerez politikalarına ilişkin yayınladığı yönergeleri 1 Ekim itibariyle güncelleyerek, çerez kullanımında alınacak rıza ve uygulamalara ilişkin birtakım düzenlemeleri revize etti. Veri sorumlusuna ait her sitede ayrı ayrı rıza alınmasını öngören düzenlemelerde, websitesi ziyaretçilerinden bilgilendirilmiş rıza alınmasının gerekliliği vurgulandı. Dolayısıyla ziyaretçilerden sadece rıza alan, ilgili verilerin hangi amaç dahilinde kullanılacağını açıklamayan ve kullanıcıya istediği zaman verdiği rızadan cayabileceği bir mekanizma sunmayan çerez politikalarının yürütülmemesi gerektiği ifade edildi. Ayrıca çerezler için tek bir rıza almak yerine, ziyaretçiye birden fazla seçenek sağlanmasının, bu sayede çerezlere kısmen izin verilebilecek bir sistem oluşturulmasının önemi açıklandı.


  • British Airways 2018 yılında iki aydan uzun süredir tespit edemediği bir siber saldırıya maruz kalmıştı. Saldırı sonucunda 77.000 müşterinin kimlik kartı bilgileri ve 108.000 müşterinin kart numaralarına erişilmişti. Bilgi Komiserliği Ofisi (“ICO”), British Airways’e toplam 400.000’den fazla müşterisinin kişisel verilerinin ihlali sebebiyle 20 milyon sterlin para cezası verdi. İlgili karar uyarınca, British Airways tarafından çok adımlı kimlik doğrulama metodu ve sızma testi gibi güvenlik tedbirleri uygulanmış olsaydı, söz konusu veri ihlalinin gerçekleşmesinin önüne geçilmiş olacaktı.

2. Haberler

  • Japonya, 2005 tarihli Kişisel Bilgilerin Korunması Kanunu’nda (“APPI”) köklü değişiklikler yaparak düzenlemeleri Avrupa Birliği'nin Genel Veri Koruma Yönetmeliği (“GDPR”) ile uyumlu hale getirdi. Açıklanan değişiklikler veri ihlali raporlaması ile güvenlik kameraları gibi cihazlardan toplanan yüz tanıma verilerinin kullanımını kapsıyor. Örneğin, veri sorumlusu görüntü verilerini işlerken, işleme amacı, işleme yöntemleri ve güvenlik tedbirleri belirlenmiş olmalıdır. Veri konusu kişi grupları ise ihlalleri önceden olduğu gibi e-posta veya faks yerine resmi bir form aracılığıyla Kurum’a bildirmelidir.


  • Alman veri koruma gözlemcileri tarafından H&M’in Nürnberg hizmet merkezinde şirket çalışanlarının verilerine ilişkin gereğinden fazla verinin tutulduğu tespit edildi. Bu verilerin çalışanların dini inançları, hastalıkları ve ailelerinin mesleklerine yönelik veriler olduğu açıklandı. Dolayısıyla 35.3 milyon Euro para cezasıyla karşı karşıya kalan H&M, çalışanlarının da zararının en kısa zamanda tazmin edileceğini açıkladı. İlgili para cezası GDPR kuralları kapsamında Google’dan sonra bir firmaya uygulanan en yüksek para cezası olarak kayıtlara geçti.


  • Sayıştay’ın Bilecik Şeyh Edebali Üniversitesi’ne (“Üniversite”) ilişkin hazırladığı 2019 Denetim Raporu uyarınca, Üniversite’nin kişisel verilerin korunmasına ilişkin gerekli önlemleri almadığı ortaya çıktı. Tespit edilen eksiklikler uyarınca, saklanan veri gruplarının belli olmadığı, ne zaman ve kimlerden toplandığının açık olmadığı ve hangi koşullarda saklandığının belirsiz olduğu ifade edildi. Kullanılan personel bilgi sistemi ile elektronik bilgi yönetim sistemine ilişkin güvenlik tedbirlerinin alınmadığı gibi, veri konusu kişilerin ve Üniversite’nin açık rızası olmaksızın verilerin yurtdışına aktarımının mümkün olduğu belirlendi.


  • 2020 yılının ilk çeyreği itibariyle toplam pazar büyüklüğü 10 milyon Türk Lirası’nı bulan “.tr” uzantılı 417.100 alan adı bulunuyor. İlgili alan adları 1991 yılından itibaren ODTÜ Bilgi İşlem Daire Başkanlığı tarafından düzenleniyordu. 2000 yılında ise Ulaştırma Bakanlığı İnternet Kurulu çatısı alıntına alınmıştı. .tr Ağ Bilgi Sistemi’nin devreye alınması üzerine alan adı verme etkisi Bilgi Teknolojileri ve İletişim Kurumu’na (“BTK”) geçmiş oldu.


3. Güncel Yayınlar

  • Kitap:


Sabire Sanem Yılmaz, Tıp Alanında Kişisel Verilerin Korunması, Eylül 2020



  • Webinar:


Kişisel Sağlık Verileri Çalışma Grubu, Kişisel Sağlık Verileri 4. Ulusal Kongresi, 24-25 Ekim 2020



KAYNAKÇA

[1] https://www.kvkk.gov.tr/Icerik/6798/2020-560

[2] https://www.bbc.com/news/technology-54418936

[3] https://www.cumhuriyet.com.tr/haber/sayistay-seyh-edebali-universitesinde-guvenlik-acigini-ortaya-koydu-1773790

[4] https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/



YAZAR

Bilgi Teknolojileri Ekibi