KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI
Kişisel Verilerin Korunması Kurulu Avukatlar Hakkında İkinci İhlal Kararını Verdi.
Kurul kararında bir bankaya borçlu olan kişinin bilgilerinin, bankanın icra işlemlerini yürüten avukat tarafından borçlu ile aynı kamu sosyal tesisinde konaklamakta olan iş arkadaşlarına ve ağabeyine SMS aracılığıyla gönderilmesinin 6698 sayılı Kanunun 12. Maddesinin 1. Fıkrasına aykırılık teşkil ettiği gerekçesiyle avukata 125.000 TL idari para cezası kesilmesine hükmetti. (1)
Kliniğe yapılan siber saldırı sonucunda özel nitelikli hasta verileri sızdı.
Veri sorumlusu sıfatını haiz olan Doktor A. E. K. tarafından Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrası uyarınca Kurum’a gönderdiği yazıda hasta bilgilerinin tutulduğu sistemin bir siber saldırıya uğradığı ve ihlalden etkilenen kişi sayısının tahmini 10.000 olduğu bildirdi. İhlalden etkilenen kişisel veriler arasında hastaların sağlık ile ilgili detaylı bilgileri, tıbbi geçmişleri, muayene bulguları, laboratuvar sonuçları ve cinsel sorunları gibi özel nitelikli verilerin olduğu ifade edildi. (2)
KİŞİSEL VERİLERİ KORUMA KURUMU DUYURULARI
Kişisel Verileri Koruma Kurulu’ndan Arama Motorları ile İlgili Duyuru
Kişisel Verilerin Korunması Kurulu, kişilerin ad ve soyadı ile arama motorları üzerinden yapılan aramalarda çıkan sonuçların indeksten çıkarılmasına yönelik talepler hakkında bir kamuoyu duyurusu yayımladı. Kurum duyurusunda;
Arama motorlarının veri sorumlusu olarak kabul edileceğini
Arama motorları tarafından gerçekleştirilen faaliyetlerin kişisel veri işleme faaliyeti olarak değerlendirileceğini
İlgili kişilerin arama sonuçlarının indeksten çıkarılmasına yönelik talepleri için öncelikle veri sorumlusu sıfatını haiz arama motorlarına başvuruda bulunması gerektiğini ve yapılacak bu başvurunun şekli ve istenecek bilgi/belgelerin arama motorları tarafından belirleneceğini
Başvuru sonrasında yapılacak değerlendirmede ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılması gerektiğini
İlgili kişilerin yapmış oldukları bu başvurudan sonuç alamamaları halinde Kurula şikâyette bulunabilecekleri gibi doğrudan yargı yoluna başvurmalarının da mümkün olduğunu belirtmiş ve arama motorları tarafından yapılacak değerlendirmede kullanılabilecek bazı kriterler yayımlamıştır;
Mert Grup Sigorta Aracılık Hizmetleri’nden İhlal Bildirimi
Mert Grup Sigorta Aracılık Hizmetleri tarafında KVK Kuruluna yapılan veri ihlal bildiriminde Mert Grup’un acentesi olduğu sigorta şirketlerinin sistemlerine girilerek kişilerin kredi kartlarından 1 TL ile 50 TL arasında değişen tutarların çekildiği ifade edilmiştir.
Fluke Corporation ve Fluke Electronics Corporation tarafından İhlal Bildirimi
Fluke Corporation ve Fluke Electronics Corporation tarafından KVK Kuruluna yapılan veri ihlal bildiriminde veri sorumlusunun web servisi yönetici hesabının ele geçirilmesi sonucunda içerisinde Fluke Connect el aletleri ve sensörlerinden elde edilen ölçüm verileri, abonelik bilgileri ve şifrelenmiş parolaların da olduğu çeşitli kişisel verilerin ihlalden etkilendiği ifade edilmiştir.
Yabancı Bir Bankanın Kurul’dan Görüş Talebi
Türkiye’de temsilciliği bulunan bir yabancı bankanın 6698 sayılı Kanun uyarınca veri sorumlusu sayılıp sayılamayacağı ve VERBİS yükümlülüğü hakkında KVK Kurulundan istemiş olduğu görüş talebi sonucunda Kurul, yabancı bankanın temsilcisi vasıtasıyla ülkemizdeki sürekli mevcudiyetini göz önüne alarak yapılan kişisel veri işleme faaliyetleri açısından bankanın veri sorumlusu sayılacağını ve VERBİS kayıt yükümlüsü olduğunu belirtti.
ULUSLARARASI KİŞİSEL VERİLERİN KORUNMASI OTORİTELERİ KARARLARI
Norveç Kişisel Verileri Koruma Otoritesi’nden Belediyeye Ceza
Norveç Kişisel Verileri Koruma Otoritesi (Datatilsynet) bir belediyeye çocukların sağlık verilerinin online öğrenme platformu Showbie aracılığıyla GDPR’da öngörülen yükümlülüklerine aykırı olarak işlemesi, gerekli risk analizinin ve mahremiyet etki değerlendirmesinin yapılmamış olması dolayısıyla 500.000 NOK idari para cezası kesti.
Litvanya Kişisel Verileri Koruma Komitesinden Biyometrik Veri Toplayan Spor Salonlarına Ceza
Litvanya Kişisel Verileri Koruma Otoritesi 3 farklı spor salonu hakkında vermiş olduğu kararda spor salonlarının biyometrik veri işleme faaliyetlerinin GDPR’a aykırı olduğuna hükmetti. Spor salonları kişilerin tesislere girişlerinde parmak izi tanıma cihazı kullanmaktaydı. Ancak Kurul kararında kişisel veri etki analizi yapılana kadar parmak izi tanıma cihazlarının kullanılmamasına hükmetti.
İspanya Kişisel Verileri Koruma Otoritesi (The Agencia Española de Protección de Datos), bir süpermarket zincirinde kullanılmakta olan yüz tanıma teknolojisinin GDPR’ı ihlal ettiği iddiasıyla inceleme başlattı.
Kore İletişim Komisyonu’ndan Tiktok’a Ceza
Kore İletişim Komisyonu (The Korea Communications Commission) reşit olmayanların kişisel verilerinin hukuksuz işlenmesi sebebiyle TikTok’a 186.000.000 won idari para cezası kesti. Yapılan inceleme sonucunda TikTok’un 14 yaş altı çocukların kişisel verilerinin ebeveynlerinin izni olmadan topladığı ve ABD ve Singapur’daki serverlarına aktardığı tespit edildi. (3)
HABERLER
Almanya’nın yerel istihbarat ajansı tüketicileri, Çin ödeme şirketlerine veya diğer teknoloji firmalarına verdikleri kişisel verilerin Çin hükümetinin eline geçebileceği konusunda uyardı. Perşembe günü yayınlanan yıllık raporunda, BfV ajansı Çin devlet dairelerinin Tencent, Alibaba “gibi şirketlerin depoladığı verilere erişebildiğini kaydetti. BfV başkanı Thomas Haldenwang, Almanların verilerinin Çinli şirketlerde güvenli olmadığını, çünkü yasaları gereği bu verileri hükümetlerine sunmaları gerektiğini söyledi.
GÜNCEL YAYINLAR
IAPP:
LinkedIn Live: The ‘Schrems II’ Decision: The Day After
European Parlıament:
The impact of the General Data Protection Regulation (GDPR) on artificial intelligence
KAYNAKÇA
YAZAR
Bilgi Teknolojileri Ekibi
Comments