KİŞİSEL VERİLERİN KORUNMASI HUKUKU BÜLTENİ 2. SAYI

Güncelleme tarihi: Ağu 27



KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI


Verbis Kayıt Yükümlülüğünün Uzatılmasına İlişkin Kurul Kararı

Kişisel Verileri Koruma Kurumu, 23 Haziran 2020 tarihli ve 2020/482 sayılı Kararı ile Veri Sorumluları Siciline kayıt yükümlülüğünün;


Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,


Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,


Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine, kadar uzatılmasına karar verdi. Karar aynı zamanda 25 Haziran 2020’de Resmi Gazete’de de yayınlandı.


HABERLER


IBM Yüz Tanıma Sistemi Satışını Durdurdu

Amerika’da George Floyd’un polis şiddeti sonucunda hayatını kaybetmesi ve akabinde polis şiddeti ve ırkçılığa karşı gerçekleştirilen protestolar devasa teknoloji şirketlerini de harekete geçirdi. Amerikan Kongresi’ne yazdığı mektupta IBM’in CEO’su Arvind Krishna, şirketin artık yüz tanıma teknolojisi satmayacağını duyurdu. IBM’in bu kararının arkasında yüz tanıma teknolojilerinin kitlesel gözetim, ırksal profilleme ve temel hak ve özgürlüklerin ihlali için kullanılabileceği endişesinin bulunduğu, şirketin bundan sonraki dönemde daha fazla şeffaflık sunan teknolojilerin kullanımından yana olduğu ifade edildi.


IBM’in bu açıklamasının ardından Amazon İnternet Servisleri (AWS) tarafından piyasaya sürülen “Rekognition” ile yüz tanıma teknolojileri pazarında yer alan Amazon da yaptığı açıklama ile çeşitli devlet kurumları tarafından kullanılan teknolojinin polisin kullanımına sunulmasının bir yıl ertelendiğini duyurdu. Amazon tarafından yapılan açıklamada, yüz tanıma teknolojilerinin etik kullanımı noktasında hükümetler tarafından daha etkili düzenlemeler yapılması gerektiği ve Kongre’nin de bu konuda gerekli adımları atmaya istekli göründüğü belirtildi. Bu bir yıllık sürenin Kongre’ye gerekli düzenlemelerin yapılması için yeterli zaman sağlayacağının umulduğu ifade edildi. Bununla birlikte Rekognition, insan ticareti mağdurlarının ve kayıp çocukların bulunması amacıyla ilgili kurumlar tarafından kullanılmaya devam edilecek.


Sulh Ceza Hakimliği Kurulun Verdiği İdari Para Cezasını Düşürdü.

İstanbul Barosu Kişisel Verilerin Korunması Komisyonu Başkanı Avukat Hasan Selçuk Turan sosyal medyada yaptığı açıklamadı KVK Kurulu’nun işleme şartı olmaksızın ilgili kişinin aranmasına verdiği 100.000 TL’lik para cezasının yapılan itiraz sonucunda Sulh Ceza Hakimliği tarafından 17.828 TL’ye düşürüldüğünü duyurdu. Sulh Ceza Hakimliği kararında “idari para cezası düzenlenirken alt sınırdan neden uzaklaşıldığı idari yaptırım kararında açıkça belirtilmemesi” gerekçesine dayandı.


Şeyma Subaşı’nın Hesap Hareketlerini İnceleyen Çalışanın Dava Dosyası Ağır Ceza Mahkemesi’nde.

Şeyma Subaşı’nın hesap hareketlerini izinsiz bir şekilde görüntüleyip paylaşan banka görevlisinin iş akdinin banka tarafından sonlandırılması sonrasında TCK m.135-136 uyarınca kişisel verilerin hukuka aykırı olarak kaydedilmesi ve başkalarına verilmesi dolayısıyla iddianame düzenlenmişti. Dosyanın gönderildiği mahkeme olan Asliye Ceza Mahkemesi ise işlendiği ileri sürülen suçun 5411 sayılı Bankacılık Kanunu Kapsamında kalan sırların açıklanması suçunu oluşturduğu gerekçesiyle dosyayı görevli mahkeme olan Ağır Ceza Mahkemesi’ne gönderdi. (3)


KİŞİSEL VERİ KORUMASINA İLİŞKİN AB’DEN KARARLAR


Fransa Danıştayı, Fransız Veri Koruma Otoritesi CNIL’in Verdiği Google Kararını Onadı.

Sivil toplum kuruluşları None Of Your Business (NOYB) ve La Quadrature du Net (LQDN) tarafından yapılan iki şikayete istinaden Fransız Veri Koruma Otoritesi (CNIL) 21 Ocak 2019’da şeffaflık, yetersiz bilgi ve reklamların kişiselleştirilmesi için geçerli rızanın bulunmamasıyla ilgili GDPR gerekliliklerine uymaması nedeniyle Google LLC’ye 50 milyon Euro tutarında idari para cezası vermişti. Bu karar, bugüne kadar Avrupa’nın en yüksek yaptırımlarından biriydi. Google LLC, CNIL kararını Fransa’nın en yüksek idare mahkemesi olan Conseil d’État’ta (Danıştay) temyiz etmişti. 19 Haziran 2020’de ise Google LLC’nin temyiz başvurusunu reddederek Danıştay, CNIL kararını onadı. (2)


İsveç Veri Koruma Otoritesi Merdiven Boşluğunu Görüntüleyen Kameraları Gdpr’a Aykırı Buldu

İsveç Veri Koruma Otoritesi (Data Inspektionen), bir kooperatif konut birliğinin derneğinin apartmandaki merdiven boşluğunu izlediğini iddia eden şikayetler alması üzerine derneği denetledi. Denetim üzerine, derneğin dört gözetim kamerasının kurulu olduğunu, iki tanesinin merdiven boşluğunda, birinin ana girişte diğerinin de derneğin depo odasında yer aldığını ve tüm kameralar haftanın 7 günü 24 saat kesintisiz video ve ses kaydettiğini tespit etti. Merdiven boşluğunda ve girişte kurulan iki kamera için, İsveç Veri Koruma Kurumu, bunların binanın sakinlerinin alışkanlıklarını, ziyaretlerini ve sosyal çevresini haritalamasına izin verdiğini belirtti. Kurum kararında, buralarda video gözetimi kullanımını yasaklayarak bu yerlerde bir gözetim yapılmasına izin verilmesi için çok güçlü nedenlerin ortaya konulması gerektiği sonucuna vardı.


Belçika Veri Koruma Otoritesi Belediye Çalışanlarının Bilgilerini Siyasi Propaganda Amacıyla Toplayan Kişiye Para Cezası Verdi.

Belçika Veri Koruma Otoritesi (Autorité De Protection Des Données) yerel seçim adayına yerel seçimlerde seçim propagandasını (mektup şeklinde) belediye personel üyelerine göndermek için bir belediye personel kayıt defterini kullanmak üzere 5.000 EUR para cezası verdi. Kurum daha önceki kararlarına atıf yaparak, belediye amaçları için toplanan verilerin siyasi propaganda için kullanılması amacıyla daha fazla işlenmesinin yasal işlem ve amaç sınırlaması ilkelerini ihlal ettiğini tespit etmiştir. Ayrıca, seçim adayının kamu hizmetindeki diğer pozisyonlarının, veri koruma kurallarını da içeren seçim kampanyası kurallarına daha fazla saygı göstermesi gerektiğini ifade etmiştir.


Norveç Veri Koruma Otoritesi’nden 275 Bin Euroluk Ceza Hazırlığı

Norveç Veri Koruma Otoritesi (Datatilsynet) 20 Mayıs 2020’de, Bergen Belediyesine, okulun veliler ve okul arasındaki iletişim sistemi bağlamında kişisel bilgileri yetersiz bir şekilde güvence altına aldığı için 3 milyon NOK (yaklaşık 275.000 €) para cezası verme niyetinde olduğunu bildirdi. Özellikle Datatilsynet, Bergen Belediyesi’nin kişisel bilgilerin güvenliğini, gizliliğini ve bütünlüğünü sağlamak için yeterli teknik ve kurumsal önlemleri almadığını ifade etti. Ayrıca Datatilsynet, okullar tarafından kullanılan iletişim araçlarının yetersiz güvenliğine ilişkin sayısız durumuyla karşılaştığını ve Datatilsynet’in bildiriminin ardından Bergen Belediyesi’nin 22 Haziran 2020’ye kadar kendisine görüş bildirmesi gerektiğini belirtti.

Avrupa İnsan Hakları Mahkemesi Kararı

P.N. v. Almanya Kararı (Başvuru no. 74440/17-11 Haziran 2020)

Başvurucu, Bay P.N., 1961 doğumlu ve Dresden (Almanya) ‘da yaşayan bir Alman vatandaşıdır. Dava, bir polisin, olası dövmeler dahil yüzünün ve vücudunun fotoğrafları, parmak ve avuç içi izleri gibi başvurucuyu tanımlamak için bilgi toplama emrini içermektedir. Ağustos 2011’de Dresden polisi, Ceza Muhakemesi Kanunu’na dayanarak, çalınan mallar için başvurucu hakkında ceza davası açıldığından kimlik verilerinin toplanmasını emretmiştir. Ayrıca daha önce başvurucu sabıka kaydına sahip olduğu için polisin görüşüne göre kimlik tespiti tedbirleri gelecekteki suçların soruşturulmasına yardımcı olacaktır. Başvurucu karara itiraz etmiş ancak temyiz başvurularının hepsi reddedilmiştir. Önceki sabıka kaydına atıfta bulunarak, mahkeme, Ceza Muhakemesi Kanunu uyarınca, ileride yapılacak bir soruşturma için gerekli olabilecek bir olasılık varsa, başvurucunun verilerini toplamanın yasal olduğunu tespit etmiştir. Mayıs 2017’de Federal Anayasa Mahkemesi, başvuranın anayasa şikayetini incelemeyi reddetmiştir. Başvurucu, polisin kendisinden kimlik verilerini toplama emrinin, Avrupa İnsan Hakları Sözleşmesi’nin 8. maddesiyle (özel hayata ve aile hayatına, evine ve yazışmalarına saygı hakkı) korunan haklarını ihlal ettiğinden şikayetçi olmuştur. AİHM, 11 Haziran 2020 tarihinde söz konusu başvuruda herhangi bir ihlal olmadığına, taraf Devlet’in uygulamasının yerinde olduğuna karar vermiştir.


KAYNAKÇA

https://www.kvkk.gov.tr/Icerik/6750/VERBIS-E-KAYIT-SURELERININ-UZATILMASI-HAKKINDA-DUYURU (1)

https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil (2)

https://www.ntv.com.tr/galeri/yasam/seyma-subasiyi-ifsa-eden-bankaciya-agir-ceza-yargilamasi,jdZPkVm8YEK66MbiIPN0Ew (3)

YAZAR

Bilgi Teknolojileri Ekibi