Kişisel Verilerin Korunması Bülteni - 2022 1. Çeyrek

Türkiye’den Güncel Gelişmeler

• Veri Sorumluları Siciline Kayıt Hakkında Kamuoyu Duyurusu Kişisel Verileri Koruma Kurumu (“Kurum”) internet sitesinde 4 Ocak 2022 tarihinde yayımlandı. Duyuruda, veri sorumlularının sicile açıkladığı bilgilerin kişisel veri işleme envanterine dayalı olarak hazırlanması gerektiği ve sadece sicile kayıt yapılmasının kanun kapsamındaki diğer yükümlülükleri ortadan kaldırmayacağı vurgulanmıştır. Duyuru, veri sorumlusu şirketlerin yerine getirmesi gereken tek yükümlülüğün sicil kaydını ve bildirimlerini tamamlamak olduğu şeklindeki hatalı algıyı ortadan kaldırmayı amaçlamaktadır. Duyuruya buradan ulaşabilirsiniz.
• Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu Kurum internet sitesinde 15 Şubat 2022 tarihinde yayımlandı. Duyuru ile veri sorumlularınca alınması gereken birçok tedbire yer verilirken; veri sorumlularının risk değerlendirmesi sonucunda uygun bulacakları tedbirleri uygulaması tavsiye edilir. Duyuruya buradan ulaşabilirsiniz.
• Resmî Gazetede yayımlanan tüm ilke kararlarının derlemesi niteliğindeki Kişisel Verileri Koruma Kurulu (“Kurul”) İlke Kararları Kitapçığı, 16 Şubat 2022 tarihinde Kurum’un internet sitesinde yayımlandı. Bahsi geçen kitapçığa, Kurum’un resmi internet sitesi, duyurular bölümünden erişilebilmektedir.
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında idari para cezası tutarları, 2017-2022 yılları için tespit ve ilan edilen yeniden değerleme oranında arttırılmış tutarlarını gösteren bir tablo olarak Kurum’un internet sitesinde 17 Şubat 2022 tarihinde duyuruldu. Duyuruya buradan ulaşabilirsiniz.
• Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik 19 Şubat 2022 tarihli Resmî Gazetede yayımlanarak yürürlüğe girdi. Yönetmeliğin amacı, Sosyal Güvenlik Kurumu’nun görev ve yetkileri kapsamında elde edilen kişisel verilerin işlenmesinde uyulacak usul ve esasları belirlemektir. Anılan Yönetmelik ve müvekkil duyurusuna bağlantılardan ulaşabilirsiniz.

Önemli Kurul Kararları

• Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik AŞ veri ihlal bildirimi hakkında Kurul kararı: Kurul, birçok Yemek Sepeti müşterisinin kullanıcı adı, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri gibi kişisel verilerinin veri ihlalinden etkilendiğini ifade etmiştir. Verilere erişimin sunucudaki açıktan kaynaklandığı tespit edilmiş; güvenlik duvarı (firewall) üzerinde iz olmasına rağmen 8 gün boyunca ihlalin fark edilmemesinin veri sorumlusu Yemek Sepeti’nin kusurundan kaynaklandığını değerlendirerek idari para cezasına hükmetmiştir. Karara buradan ulaşabilirsiniz.
• Kurul’un araç kiralama şirketleri ve yazılım şirketleri hakkındaki ilke kararı 20 Ocak 2022 tarihli Resmî Gazetede yayımlandı: Kurum’a gelen ihbarlar üzerine başlatılan inceleme sonucunda, araç kiralama firmaları tarafından “kara liste” özelliği içeren araç kiralama yazılımları kullanıldığı anlaşılmıştır. Kara liste özelliği içeren yazılımlar vasıtasıyla elde edilen müşterilere ait kişisel verilere, yazılımı kullanan diğer araç kiralama firmaları tarafından erişilebildiği anlaşılmıştır. Yazılım şirketleri tarafından sunulan hizmetin SaaS (Software as a Service) şeklinde olduğu ve gerektiğinde teknik destek sağlamak amacıyla admin yetkisine sahip kullanıcılar atandığı tespit edilmiştir. Bu yazılımları kullanan tüm araç kiralama firmaları yazılım şirketleri ile birlikte, veri üzerinde hakimiyetleri olduğundan, ortak veri sorumlusu kabul edilmişlerdir. Karar ile araç kiralama sektöründe kara liste uygulamasını kullanan veri sorumluları hakkında işlem tesis edileceği belirtilmiştir. KVKK kapsamında tanımlanmamış olan “ortak veri sorumlusu” kavramına ilişkin değerlendirmeler içerdiğinden, karar önem arz eder. Karara buradan ulaşabilirsiniz.
• Kurul’un 06 Ocak 2022 tarihli Yükseköğretim Kurumları Sınavı sonuçlarının internet sitesinde yayınlanmasına ilişkin kararı: Kurul, ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşılmasını KVKK m. 28 (1) ile düzenlenen ifade özgürlüğü kapsamında değerlendiremeyeceğini ifade etmiştir. Kurul, karar tarihi itibariyle ilgili kişisel verinin web sitesinden kaldırılmasını hafifletici neden olarak değerlendirmiş ise de veri sorumlusu hakkında idari para cezası uygulanmasına karar vermiştir. Karara buradan ulaşabilirsiniz.

Dünyadan Güncel Gelişmeler

• 25 Mart 2022 tarihinde, Birleşik Devletler ve Avrupa Komisyonu, Transatlantik Veri Gizliliği Çerçeve Metnine ilişkin anlaştığını duyurdu. Tarafların anlaşmış olduğu prensipler, transatlantik veri akışını desteklerken, Avrupa Birliği Adalet Divanı’nın Haziran 2020 tarihli Schrems II kararı uyarınca gündeme gelen endişeleri gidermeyi hedeflemektedir. Güçlü veri koruma standartlarını destekleyen ve tüm sektörlerde ticareti güçlendireceği düşünülen prensipler, Birleşik Devletler ve Avrupa arasındaki veri akışı için kalıcı bir temel sağlayacaktır. Duyuruya buradan ulaşabilirsiniz.
• 23 Şubat 2022 tarihinde Avrupa Komisyonu, tüm ekonomik sektörler kapsamında, Avrupa Birliği’nde üretilen verileri kimlerin kullanabileceği ve bunlara erişebileceğine ilişkin bir yasa teklif duyurdu. Yasa teklifi, dijital ortamda adaleti sağlamayı, rekabetçi veri pazarını teşvik etmeyi, veriye dayalı inovasyon için fırsatlar açmayı ve verileri daha erişilebilir hale getirmeyi amaçlar. İlgili duyuruya buradan ulaşabilirsiniz.
• Oman’ın Kişisel Verileri Koruma Kanununa ilişkin 6/2022 sayılı Sultanlık Kararnamesi 09 Şubat 2022 tarihli Resmî Gazetede yayımlandı. Anılan kanunun yayımlanma tarihinden 1 yıl sonra yürürlüğe gireceği belirtildi. Böylelikle Oman, Orta Doğu’da veri gizliliğine ilişkin düzenlemeye sahip ülkeler arasına katıldı.
• 22 Aralık 2021 tarihinde Avusturya Veri Koruma Kurumu, sağlık haberleri alanında faaliyet gösteren şirket NetDoktor’un Google LLC’nin popular veri analizi platformu olan Google Analytics’i kendi websitesinde kullanımını incelemiş; bu kullanım sonucunda kişisel verilerin Avrupa’dan Google sunucularının bulunduğu Amerika’ya aktarılması nedeniyle Avrupa Birliği Genel Veri Koruma Tüzüğü’nü (“GDPR”) ihlal ettiğine hükmetmiştir. Karara buradan ulaşabilirsiniz.
• Fransız Veri Koruma Kurumu 16 Şubat 2022 tarihli kararı ile benzer şekilde, ismine yer verilmeyen yerel bir web sitesinin Google Analytics kullanımı sonucunda Amerika’ya veri aktarımı gerçekleştirdiğini tespit etmiştir. Söz konusu yurt dışı aktarımının ise GDPR m. 44’ü ihlal teşkil ettiğine karar vermiştir. Karara buradan ulaşabilirsiniz. (Yalnızca Fransızca olarak yayımlanmıştır)
• Alman Veri Koruma Konferansı, Almanya sınırları içerisinde yürütülen doğrudan pazarlama faaliyetlerine ilişkin olarak 18 Şubat 2022 tarihli bir kılavuz yayımlandı. Kılavuz doğrudan pazarlamaya ilişkin GDPR ile getirilen temel prensipleri benimsemekte ve bağlayıcı olmayan bazı düzenlemeler getirmektedir. Ayrıca kılavuzda, eski müşterilerle pazarlama amaçlı irtibat kurulması hakkında Alman Haksız Rekabet Kanun’unu hükümlerine ilişkin çözümler bulunmaktadır. Kılavuza buradan ulaşabilirsiniz.
• Avrupa Veri Koruma Kurulu, ilgili kişilerin erişim haklarına ilişkin 01/2022 sayılı taslak kılavuzu resmi internet sitesinde yayımladı ve 28 Ocak 2022 tarihinde anılan taslak kılavuza ilişkin görüşleri kabul etmeye başladı. Kılavuz, erişim hakkının genel yapısını ve veri sahipleri tarafından yapılacak talepleri ele alır; bu tür taleplerin nasıl karşılanacağına ilişkin rehberlik sağlar ve son olarak, erişim hakkının sınırlarına ilişkin açıklamalar sunar. Kılavuza ilişkin görüş alım sürecinin tamamlanmasını takiben, söz konusu kılavuz kesin olarak geçerlilik kazanacaktır. Kılavuz metnine buradan ulaşabilirsiniz.
• Uluslararası Veri Transferi Anlaşması, Birleşik Krallık Ek Sözleşmesi ve geçiş hükümleri 21 Mart 2022 tarihinde yürürlüğe girdi. Anılan düzenleme, Birleşik Krallık Genel Veri Koruma Tüzüğü kapsamındaki kişisel veri aktarımına ilişkin AB Standart Sözleşme Maddelerinin yerine geçecektir. Duyuruya buradan ulaşabilirsiniz.