KİŞİSEL VERİLERİN KORUNMASI ALANINDA KASIM AYINDA NELER OLDU?

1 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI

• Zello Inc.

• VERİ İHLALİ BİLDİRİMİ

• Zello Inc.

Veri sorumlusu sıfatını haiz olan Zello Inc. tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle; (i) İhlalin; bir tehdit aktörünün, veri sorumlusu tarafından tutulan kişisel verilere erişim sağlaması neticesinde fidye yazılımı saldırısı ile gerçekleştiği, (ii) İhlalin tehdit aktörünün veri sorumlusu ile iletişime geçmesi ile tespit edildiği, (iii) İhlalden etkilenen ilgili kişi gruplarının, kullanıcılar, aboneler/üyeler ile müşteriler ve potansiyel müşteriler olduğu, (iv) İhlalden etkilenen kişisel verilerin, Zello hesabı oluştururken kullanıcılar tarafından sağlanan kullanıcı adı, karma şifre (MD5 algoritması ile şifrelenmiş), e-posta adresi ve telefon numarası olduğu, (v) İhlalden etkilenen ilgili kişi sayısının 494.746 olduğu bilgilerine yer verilmiştir.

2. KİŞİSEL VERİLERİ KORUMA KURUMU ETKİNLİKLERİ VE DUYURULARI

2.1. Kişisel Verileri Koruma Kurumu (‘’Kurum’’) Tarafından Dünya Çocuk Hakları Günü ve KVKK Programı Gerçekleştirildi

20 Kasım Çocuk Hakları Günü’nde gerçekleştirilen KVKK Programında açılış konuşması Kurum Başkanı Prof. Dr. Faruk Bilir tarafından yapıldı. Bilir, konuşmasında kişisel verilerin korunmasını isteme hakkının da bir çocuk hakkı olduğunun, veri koruma bilincinin geliştirilmesi ve bireylerin tercihleri doğrultusunda önlemler alınması gerektiğinin altını çizdi. Öğrencilerin de katılımıyla interaktif şekilde gerçekleştirilen programda ‘’Mahremiyet Çağında Çocukların Kişisel Verilerinin Korunması’’ konulu sunumun yanı sıra güvenli parola oluşturma uygulamalarına da yer verildi.

3. YURTİÇİNDE VE YURTDIŞINDA DİKKAT ÇEKEN GELİŞMELER

3.1. Avustralya’da 16 Yaşından Küçük Çocukların Sosyal Medya Erişimini Yasaklayan Yasa Tasarısı Hazırlandı.

Avustralya’da 16 yaşından küçük çocukların sosyal medyaya erişimini yasaklayan yasa tasarısı Parlamento’ya sunuldu. Söz konusu Yasa gereği sorumluluk sosyal medya platformlarına atfedilecek, ihlalde bulunan şirketlere 32,2 milyon ABD dolarına kadar para cezası verilebilecektir. Bununla birlikte Yasa, sağlık ve eğitim kapsamında birtakım istisnalar içerecektir. Çocukların sosyal medya kullanımını sınırlayan en ağır düzenlemelerden biri olan bu Yasa ile sosyal medya platformları düzenli olarak denetlenmek zorunda kalacaktır.

3.2. 2024/2847 Sayılı Siber Dayanıklılık Tüzüğü (‘’Tüzük’’) AB Birliği Resmî Gazetesinde Yayımlandı.

Tüzük, 23 Ekim 2024 tarihinde kabul edilmiş 20 Kasım 2024 tarihinde yayımlanmış olup 11 Aralık 2027 tarihi itibarıyla uygulanmaya başlanacaktır. Tüzük, yazılım ve donanım dâhil dijital unsur barındıran ürünlerin tasarımı, geliştirilmesi, üretimi ve piyasaya arz edilebilmeleri için bulundurmaları zorunlu siber güvenlik gereksinimlerini belirlemektedir. Bu şekilde tüketicinin menfaatleri karşılanacak ve ürünler siber güvenlik ile korunacaktır. NIS2 ve Veri Yasası’ndan farklı olarak evrensel ve geniş bir kapsamda uygulanacaktır. Bu sayede güvenlik düzenin artırılması planlanmaktadır.

Söz konusu düzenlenmeye buradan ulaşabilirsiniz.

3.3. Kişisel Verileri Koruma Kurumu Tarafından Twitch’e 2 Milyon Lira Ceza Verildi. (Bu Karar, Kurum’un internet sitesinde yayınlanmamış olup ilgili karar hakkında internet haber siteleri üzerinden bilgi sahibi olunmuştur.)

Kurum tarafından sosyal medya platformu olan Twitch’e veri sızıntısı nedeniyle 2 milyon lira idari para cezası verildi. Soruşturma 125 GB’lık bir veri sızıntısı üzerine başlatıldı. Soruşturma sonunda Twitch’in özen yükümlülüğüne uygun hareket etmediği ve gerekli güvenlik önlemlerini zamanında almadığı tespit edildi. Bahse konu veri ihlalinden 35.274 kişi etkilendiği belirtilmiştir.

3.4. Kişisel Verileri Koruma Kurumu Tarafından X’e 1 Milyon 470 Bin Lira Ceza Verildi

Kurum tarafından sosyal medya platformu olan X’e (‘’Twitter’’) üye verilerinin reklam amaçlı kullanılması nedeniyle 1 milyon 470 bin lira idari para cezası verildi. Soruşturma re’sen başlatıldı. Soruşturma sonucunda X’in veri güvenlik yükümlülüklerini yerine getirmemesi sebebiyle Kanun’a aykırılık tespit edilmiştir.

3.5. Avrupa Birliği Siber Güvenlik Ajansı (‘’ENISA’’) 2022/2555 Sayılı NIS2 Direktifi Kapsamında Teknik Rehber Taslağı Yayımladı.

NIS2, yüksek siber güvenlik sağlamayı amaçlayan bir yasadır. 17 Ekim 2024’te Avrupa Komisyonu (‘’Komisyon’’) NIS2 Direktifi’ne uygun siber güvenlik önlemlerini belirleyen kuralları kabul etmiştir. NIS İş Birliği Grubu tarafından geliştirilen ve ENISA tarafından yayımlanan siber güvenlik ve risk yönetimine ilişkin teknik rapor şu unsurları içermektedir: (i) Tavsiyeler ve terimlerin açıklanması, (ii) Vaka örnekleri, (iii) Avrupa ve uluslararası standartlara göre güvenlik gereksinimlerini içeren tablolar. Rehber taslağına ilişkin geri bildirimlerin 9 Ocak 2025 tarihine kadar yapılması beklenilmektedir.

3.6. Bilgi Teknolojileri ve İletişim Kurumu (‘’BTK’’) İşletmeciler Tarafından Pazarlama, Bilgilendirme vb. Amaçlarla Yapılan Aramalar ve İkincil Numara Tahsisleri ile Yurtdışından Gönderilen SMS, MMS vb. Mesajlara Yönelik Düzenleme (‘’Düzenleme’’) Taslağı’nı Yayınladı.

BTK söz konusu düzenleme ile elektronik haberleşme hizmeti sunan pazarlamacı işletmecilere birtakım yükümlülükler getirmiştir. (i) Pazarlama yasağı kapsamında işletmecilerin kendi aboneleri harici arama yapması ve mesajlaşması yasaklanmıştır. (ii) İkincil numara tahsisi yasaklanmıştır. (iii) Türk vatandaşları ve şahıs şirketlerine 15, yabancı uyruklulara ise 3 adet ikincil numara tahsis edilebilecektir. Aynı ay içerisinde yalnızca 4 adet tahsis edilebilir. (iv) Yurtdışından gönderilen mesajlar Türkiye’deki işletmeciler tarafından taşınamaz. Söz konusu düzenleme 1 Ocak 2025 tarihinden itibaren geçerli olacaktır. 05.09.2024 tarihli ve 2024/İK-YED/330 sayılı Kararı ile, kamuoyu görüşü alınabilmesini teminen söz konusu Düzenleme Taslağı’nın 30 (otuz) gün süre ile İnternet sitesinde yayımlanmasına karar verilmiştir. Görüşler en geç 27.12.2024 tarihine kadar gönderilmelidir.

 

3.7. ABD Ulusal Standartlar ve Teknoloji Enstitüsü (‘’NIST’’) Tarafından Sentetik İçeriklerin Oluşturduğu Risklerin Azaltılması Başlıklı Rapor (‘’Rapor’’) Yayınlandı.

 

Raporda ele alınan konular şu şekildedir: (i) İçerik doğrulama ve köken takibi, (ii) Sentetik içeriğin etkilenmesi, (iii) Sentetik içeriğin tespiti, (iv) Mahrem görüntülerin üretilmesinin engellenmesi, (v) Yazılımların test edilmesi, (vi) Sentetik içeriğin denetimi.  Yapay zekâ, içerik üretiminde yeni bir çağ açsa da güvenilirlik risklerini de beraberinde getirmektedir. İşbu Raporun amacı sentetik içeriklerin tespitini sağlamak ve yapay zekanın etik dışı kullanımını engellemektir. Raporda bireylerin mahrem görüntülerinin veya çocuk istismarına yönelik içeriklerin tespitine yönelik yazılımların denetimi ve bu kapsamda birtakım standartların geliştirilmesi de ele alınmaktadır. Sentetik içeriklerin takibi, tespiti, etkilenmesi yaklaşımları içerik üreticileri ve kullanıcılar arasındaki güveni pekiştirmek adına önemli araçlardır.

Rapora ilişkin detaylara buradan ulaşabilirsiniz.

3.8. Finlandiya Veri Koruma Otoritesi (‘’DPA’’) Tarafından Posti Şirketine 2.4 Milyon Euro Para Cezası Verilmiştir.

DPA, Posti adlı şirkete müşteriler adına izinsiz e-posta kutusu oluşturarak veri koruma ihlalleri gerçekleştirmesi nedeniyle 2.4 milyon Euro idari para cezası vermiştir. Bazı hizmetlerle elektronik posta alma seçeneği varsayılan olarak işaretlenmiştir. Müşteriler bu durumdan habersiz olarak e-postalar almıştır ve veri ihlali ile birtakım sorunlara sebebiyet verilmiştir. Bunun yanı sıra DPA, dijital hizmetlerde veri koruma hakkında Posti’ye eksik düzenlemelerin giderilmesi ve yalnızca gerekli kişisel verilerin işlenmesinin sağlanması yönünde uyarıda bulunmuştur.

Söz konusu karara buradan ulaşabilirsiniz.

KİŞİSEL VERİLERİN KORUNMASI ALANINDA ARALIK AYINDA NELER OLDU?

 

2 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI

 

• Anıl Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi (Özel Hisar Tıp Merkezi)

 

• Karadeniz Holding A.Ş.

 

• Anıl Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi (Özel Hisar Tıp Merkezi)

 

Veri sorumlusu sıfatını haiz Anıl Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlali bildiriminde özetle; (i) İhlalin 22.11.2024-24.11.2024 tarihleri arasında gerçekleştiği ve 02.12.2024 tarihinde tespit edildiği, (ii) Bir siber saldırı sonucunda ihlalin gerçekleştiği ancak konuya ilişkin detaylı bilginin bulunmadığı, (iii) Veri sorumlusunun mevcut durumda ihlale konu verilere erişemediği, (iv) İhlalden etkilenen kişi ve kayıt sayısının henüz bilinmediği, (v) İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu, (vi) Sağlık bilgileri ve kimlik verilerinin ihlalden etkilendiği ancak henüz konuya ilişkin detaylı bilginin bulunmadığı, (vii) İlgili kişilerin, veri sorumlusunun web sitesi ve fiziksel deskler aracılığıyla veri ihlali hakkında bilgi alabilecekleri bilgilerine yer verilmiştir.

• Karadeniz Holding A.Ş.

 

Veri sorumlusu sıfatını haiz Karadeniz Holding AŞ tarafından Kurula iletilen kişisel veri ihlali bildiriminde özetle; (i) İhlalin bir siber saldırı nedeniyle gerçekleştiğinin düşünüldüğü, konuya ilişkin detaylı bilginin henüz tespit edilememesi nedeniyle çalışmaların ve araştırmaların devam ettiği, (ii) İhlalin başlama ve sona erme tarihlerinin belirsiz olduğu ve ihlalin 10.12.2024 tarihinde tespit edildiği, ilgili tarihte yaşanan internet kesintisi sonrası gerçekleştirilen rutin güvenlik kontrolü neticesinde ihlalin tespit edildiği, (iii) İhlalden etkilenen kişisel veri kategorilerine ilişkin olarak henüz bir tespit yapılamadığı, (iv) İhlalden etkilenen kişi ve kayıt sayısının tespitine ilişkin çalışmaların devam ettiği ve henüz bir tespit yapılamadığı bilgilerine yer verilmiştir.

 

2. KİŞİSEL VERİLERİ KORUMA KURUMU ETKİNLİKLERİ VE DUYURULARI

2.1. Kişisel Verileri Koruma Kurumu (‘’Kurum’’) Tarafından Mahremiyet ve Etik İlkeler Işığında Yapay Zekâ Paneli (‘’Panel’’) Düzenlendi.

17 Aralık 2024 tarihinde, Kurum ve Kamu Görevlileri Etik Kurulu (‘’Etik Kurul’’) tarafından düzenlenen Panel’de yapay zekâ etik ve mahremiyet kapsamında ele alındı. Kurum Başkanı Prof. Dr. Faruk Bilir, yapay zekanın insanlık için bir dönüm noktası olması ve dijital çağda insani değerlere bağlı kalabilme konusunda konuşmasını gerçekleştirdi. Bununla birlikte Panel’de yapay zekâ ve etik ilişkisinin yanı sıra kamu görevlilerinin sorumlulukları üzerine tartışmalar yapıldı.

2.2. Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi Hazırlanması Amacıyla Çalıştay Düzenlendi.

Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği (‘’TÖDEB’’) ile Kişisel Verileri Koruma Kurumu (‘’Kurum’’) ödeme ve elektronik para kuruluşlarının kişisel verilerin korunması mevzuatına uyum sağlaması ve uygulamada iyi örnek oluşturarak sektör temsilcilerine rehberlik edilmesine yönelik rehber hazırlanması amacıyla 21-22 Aralık 2024 tarihlerinde bir araya gelmiştir.

3. YURTİÇİNDE VE YURTDIŞINDA DİKKAT ÇEKEN GELİŞMELER

3.1. Kişisel Verileri Koruma Kurumu (‘’Kurum’’) Tarafından Kabahatlerin Zaman Bakımından Uygulanması Bilgi Notu Yayınlandı.

6698 sayılı Kişisel Verilerin Korunması Kanunu’na (‘’Kanun’’) yönelik değişiklik hükümler içeren Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun çerçevesinde zaman bakımından uygulanmasına ilişkin değerlendirmeler yapılmıştır.

Kanun’un zaman bakımından uygulanmasına ilişkin olarak Bilgi Notunda yayınlanan tablo aşağıdaki gibidir:

 

Durum	Şikayet Zamanı	Fiilin Durumu	Uygulanan Kanun	Açıklama
Fiil, kanun değişikliğinden önce gerçekleşmiş ve bitmiş.	Şikayet, kanun değişikliğinden önce veya sonra yapılmış.	Ani hareketli fiil/kesilmiş mütemadi hareketli fiil (tamamlanmış)	Lehe kanun uygulanır.	Kanun değişikliğinden önce gerçekleşen ve biten fiillerde şikâyetin ne zaman yapıldığı önemli değildir, karar değişikliğin yürürlüğe girdiği tarihten sonra veriliyorsa lehe olan kanun uygulanır.
Fiil, kanun değişikliğinden önce başlamış ve devam ediyor.	Şikayet, kanun değişikliğinden önce yapılmış	Mütemadi hareketli fiil (devam eden)	Eğer fiil kanun değişikliğinden önce kesilmişse lehe kanun uygulanır. Eğer fiil kanun değişikliğinden sonra kesilmişse veya hala devam ediyorsa yeni kanun uygulanır.	Fiil, kanun değişikliğinden önce başlamış ancak hala devam ediyor. Fiilin ne zaman kesildiği önemlidir. Kurul kararı değişikliğin yürürlüğe girmesinden sonra alınıyorsa yeni kanun uygulanır. Zira fiil Kurul kararı ile kesilecektir. Fiilin kanun değişikliğinden önce kesilmesi halinde lehe kanun uygulanır.
Fiil, kanun değişikliğinden önce başlamış ve devam ediyor.	Şikâyet, kanun değişikliğinden sonra yapılmış	Mütemadi hareketli fiil (devam eden)	Eğer fiil kanun değişikliğinden sonra kesilmişse, yeni kanun uygulanır.	Fiil hala devam ediyor ve Kurul kararı değişikliğin yürürlüğe girmesinden sonra alınıyorsa yeni kanun uygulanır. Zira fiil Kurul Kararı ile kesilecektir.
Fiil, kanun değişikliğinden sonra gerçekleşmiş.			Yeni kanun uygulanır.	Kanun değişikliğinden sonra gerçekleşen fiillerde zaman bakımından uygulanma sorunu söz konusu olmadığından yeni kanun uygulanır.

 

Bahse konu bilgi notuna buradan ulaşabilirsiniz.

3.2. Güney Kore Ulusal Meclisi Tarafından ‘’Yapay Zekanın Geliştirilmesi ve Güvenin Tesisi Hakkında Temel Yasa’’ (‘’Yasa’’) Kabul Edildi.

Söz konusu Yasa ile Avrupa Birliği’nden sonra yapay zekâ ve veri koruma alanlarında en kapsamlı düzenlemeler hazırlanmıştır. AB’nin Yapay Zekâ Yasası ele alındığında iki yasada da risk temelli bir yaklaşım vurgulanmaktadır. Bununla birlikte iki yasada da denetim öneminin altı çizilmiştir. Yasa, etik ve güvenlik konularındaki ihlal durumlarını ele alırken yapay zekâ ve yeni teknolojilere teşvik de etmektedir. Yasaya uyum sağlamayan şirketler için 20.500 Amerikan Doları’na kadar para cezası öngörülmüştür.

3.3. Google Cloud, Yapay Zekanın İşletmeleri Nasıl Etkileyeceğine İlişkin Görüş Yazısı Yayınladı.

2025 iş dünyasını şekillendiren trendler 5 başlık ile şu şekilde sıralanmıştır: (i) Multimodal yapay zekâ geliştirilecek böylelikle farklı veri türleri bir arada işlenebilecek ve yapay zekâ sonuçlarının verimi artacak, insan odaklı bir yaklaşım benimsenecektir. (ii) Karmaşık görevler yapay zekâ ajanları tarafından basitleştirilecek bu suretle ajanlarla sunulan deneyimler iyileştirilecektir. (iii) Kurumsal arama sistemleri geliştirilecektir. (iv) Yapay zekâ destekli müşteri deneyimleri geliştirilecek sonucunda işletmeler tarafından müşterilerin istek ve ihtiyaçları öngörülebilecek. (v) Yapay zekâ güvenlik sistemleri güçlendirilecek, risk ve tehditler kolaylıkla algılanıp veri güvenliği artırılabilecek bu kapsamda doğru olmayan bilgilerin tespiti ve engellenmesi sürecinde yapay zekâ kullanılabilecektir.

Bahse konu rapora buradan ulaşabilirsiniz.

3.4. Avrupa Veri Koruma Kurulu (‘’EDPB’’) 28/2024 Sayılı Görüşünü (‘’Görüş’’) Yayınladı.

EDPB tarafından yayınlanan Görüş, yapay zekâ modellerinin geliştirilmesinde kişisel verilerin kullanılması kapsamında hazırlanmıştır. İrlanda Veri Koruma Otoritesi (‘’DPC’’) EDPB’den GDPR (64) 2 kapsamında görüş talep etmiştir. Görüşe kaynak oluşturan sorular şu şekildedir: (i) Yapay zekâ modeli ne zaman anonim kabul edilebilir? (ii) Yapay zekâ modelinin geliştirilme uygulama aşamalarında meşru menfaat, uygun bir hukuki dayanak mıdır? (iii) Yapay zekâ modelinin geliştirilme aşamasında meydana gelen veri ihlallerinin sonuçları nelerdir?

Görüş çerçevesinde yapay zekâ modelinin anonim olup olmadığı somut olay ve örnek bazında ele alınmalıdır. Meşru menfaatin hukukiliğinin değerlendirilmesi aşamasında gereklilik ve denge şartı aranmaktadır. Geliştirilme aşamasında meydana gelen veri ihlallerinin sonuçlarına ilişkin olarak ise birden fazla senaryo bildirilmiştir. Hukuka uygunluk her durumda farklı değerlendirilmelidir. İşleme faaliyetlerindeki risk ölçütüne göre sonuçlar daha ağır veyahut yüzeysel olabilir.

Söz konusu görüşe buradan ulaşabilirsiniz.

3.6. Avrupa Parlamentosu Araştırma Servisi (‘’EPRS’’) Avrupa Birliği’nin Siber Dayanıklılık Tüzüğü (‘’Tüzük’’) İlişkin Rapor (‘’Rapor’’) Yayınladı.

Siber saldırıların günden güne artması neticesinde Avrupa Birliği tarafından Ekim 2024’te Siber Dayanıklılık Tüzüğü oluşturulmuştur. Dijital unsurları içeren ürünlere siber güvenlik yükümlülükleri getiren söz konusu Tüzük, 11 Aralık 2027 itibarıyla tam olarak uygulanmaya başlanacaktır. Raporda, Tüzük’e ilişkin amaçsal ve temel hükümlere yönelik görüşler bulunmaktadır.

Söz konusu rapora buradan ulaşabilirsiniz.