Kişisel Verilerin Korunması Bülteni - 2022 2. Çeyrek

Türkiye’den Güncel Gelişmeler

• Kişisel Verileri Koruma Kurumu (“Kurum”), 21.04.2022 tarihinde, internet sitesinde Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumlularına idari yaptırım uygulanmasına başlandığına ilişkin kamuoyu duyurusu yayımladı. Duyuruya buradan ulaşabilirsiniz.
• 17.06.2022 tarihli Müvekkil Duyurusu ile duyurulduğu üzere, Tapu ve Kadastro Verilerinin İşlenmesi ve Elektronik Ortamda Yapılacak İşlemler Hakkında Yönetmelik, 08.06.2022 tarihli ve 31860 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi. Yönetmelik, Tapu ve Kadastro Genel Müdürlüğü merkezi veri tabanında yer alan verilerin çevrimiçi olarak işlenmesine ve elektronik ortamda yapılacak işlemlere ilişkin usul ve esasları düzenler. Yönetmelik’e buradan ve müvekkil duyurusuna buradan ulaşabilirsiniz.
• Çerez Uygulamaları Hakkında Rehber, Kurum’un internet sitesinde yayımlandı. Rehber, çerez yoluyla kişisel veri işleyen internet sitesi operatörleri için 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında kişisel verilerin işlenmesi amacına yönelik öneriler içerir. Rehbere buradan ulaşabilirsiniz.
• Kurum, 16.06.2022 tarihinde, Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağını (“Rehber Taslağı”) kamuoyu görüşüne açtı. Rehber sadakat programları kapsamında kişisel verilerin işlenmesine ilişkin örnekleri de içeren detaylı açıklamalara yer verir Rehber’e buradan ulaşabilirsiniz.

Önemli Kurul ve Anayasa Mahkemesi Kararları

Anayasa Mahkemesi’nin 19.04.2022 tarihli ve 2018/11988 sayılı kararı

• Anayasa Mahkemesi, mesai takibi için parmak izinin kaydedilmesinin özel hayata saygı hakkı kapsamında kişisel verilerin korunmasını isteme hakkını ihlal edip etmediğini değerlendirmiştir. Mahkeme, başvuranın parmak izi verilerinin işlenmesine açık rıza vermediğini vurgulamıştır. Ayrıca mesai kontrolünü gerçekleştirmek üzere özel nitelikli verilerin işlenebileceğini belirtir ve bu verilerin işlenmesinde esas alınacak ilkeleri ortaya koyar nitelikte mevzuatta bir düzenleme olmadığı belirtilmiş ve başvuruya konu müdahale kanunilik ilkesine aykırı bulunmuştur. İlgili karara buradan ulaşabilirsiniz.

Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 02.12.2021 tarihli ve 2021/1214 sayılı kararı

• Kurum’a intikal eden şikâyette, bir üniversitede eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin katılımcılar arasında elden ele dolaştırılarak imzalandığı ifade edilmiştir. Kurul, (i) bakanlık ve üniversitenin ayrı ayrı veri sorumlusu olduğunu, (ii) bakanlık tarafından ilgili kişinin başvurusunun 30 günlük yasal süre aşıldıktan sonra cevaplandığını ve (iii) ilgili kişilerin ad-soy ad ve T.C. kimlik numarasının bulunduğu yoklama listesinin sınıf ortamında dolaştırılarak imzalanması nedeniyle hukuka aykırı olarak üçüncü kişilerle paylaşıldığını ve (iv) üniversitenin aydınlatma yükümlülüğünü yerine getirmediğini tespit etmiştir. Kurul, bakanlığa başvuruların 30 gün içinde cevaplandırılması konusunda hatırlatma yapılmasına ve üniversitenin kişilerin ad ve soyadı dışındaki kişisel verilerini maskeleyerek toplaması ve aydınlatma yükümlülüğünü yerine getirmesi konularında talimatlandırılmasına karar vermiştir. İlgili karar özetine buradan ulaşabilirsiniz.

Kurul’un 25.11.2021 tarihli ve 2021/1187 sayılı kararı

• Kurum’a iletilen şikâyette, ilgili kişi, eski işvereninin aydınlatma yapmaksızın kendisine ait kurumsal e-posta hesabı üzerinden konuşma ve banka bilgilerine erişim sağladığını iddia etmiştir. Şikâyet üzerine Kurul, kurumsal e-posta hesaplarında yer alan ad-soyad, e-posta adresi, özel yazışmalar ve banka hesap dökümleri gibi bilgilerin kişisel veri olduğunu ve alenileştirmenin ön şartının bu yöndeki iradenin varlığı olduğunu ve bu kapsamda çalışanın iş saatlerinde yaptığı yazışmaların işverence denetlenebileceğini belirtmiş ve bu yazışmaların alenileştirilemeyeceğini değerlendirmiştir. Ayrıca verilerin yurtdışında bulunan bir bulut sisteminde saklanmasına ilişkin olarak re’sen inceleme başlatılmasına, veri sorumlusu hakkında aydınlatma yükümlülüğünü yerine getirmemesi sebebiyle 250.000 TL idari para cezası uygulanmasına, şikâyete konu verilerin davada delil olarak mahkemeye sunulmuş olması sebebiyle silinme talebine ilişkin yapılacak işlem bulunmadığına karar vermiştir. İlgili karar özetine buradan ulaşabilirsiniz.

Kurul’un 10.03.2022 tarihli ve 2022/229 sayılı kararı

• Kurum’a iletilen şikâyet, e-ticaret sektöründe faaliyet gösteren bir şirketin çerez politikasının kişilerin temel hak ve özgürlüklerine müdahale etmesi ve veri sorumlusu tarafından tam olarak bilgilendirme yapılmamasına ilişkindir. Kurul, kararda çerezleri “kesinlikle gerekli çerez” ve “bu statüde olmayan çerezler” olarak iki grupta değerlendirmiş; “kesinlikle gerekli çerezler” statüsünde olmayan çerezler için ilgili kişiden opt-in mekanizmasına göre açık rıza alınmasının zorunlu olduğunu ve aydınlatma yükümlülüğü uyarınca veri sorumlusunun, ilgili kişiye hangi verinin hangi sebeplerle işlendiğini ve varsa, veri aktarımının sebeplerini açıklamakla yükümlü olduğunu ifade etmiş; kullanılan çerezlerin de bu kapsamda olduğunu belirtmiştir. Kurul, veri sorumlusuna idari para cezası verilmesine ve veri sorumlusunun faaliyetlerinin mevzuatla uyumlu hale getirilmesine karar vermiş olup ilgili karar özetine buradan ulaşabilirsiniz.

Kurul’un 21.04.2022 tarihli ve 2022/388 sayılı Kararı

• İlgili İlke Karar, belediyelerin sunmuş olduğu çevrimiçi ödeme ve borç sorgulamaları esnasında yalnızca T.C. kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil edip etmediğini değerlendirir. Kurul, belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama ile gerekli teknik ve idari tedbirleri almasına karar vermiştir. İlgili karara buradan ulaşabilirsiniz.

Dünyadan Güncel Gelişmeler

• Veri Yönetimi Yasası (“DGA”), 03.06.2022 tarihli Avrupa Birliği Resmî Gazetesi’nde yayımlandı ve 23.06.2022 tarihinde yürürlüğe girdi. DGA şirketler için yürürlük tarihinden 15 ay sonra bağlayıcı hale gelecek. DGA, Avrupa Birliği genelinde veri paylaşımını teşvik etmeyi, kamu sektörü verilerinin yeniden kullanımını kolaylaştırmayı ve yapay zekaya dayalı veriler de dahil olmak üzere veri açısından zengin yeni ürün ve hizmetlerin geliştirilmesinde teşebbüslere yardımcı olmayı amaçlar. Kabul edilen yasa metnine buradan ulaşabilirsiniz.
• 30.06.2022 tarihinden itibaren Apple App Store’da bulunan ve hesap oluşturma imkânı sağlayan tüm uygulamalar kullanıcılara hesap silme işlemi başlatmasına izin vermek zorunda olacaktır. İlgili duyuruya buradan ulaşabilirsiniz.
• 03.05.2022 tarihinde Avrupa Komisyonu, sağlık veri merkezi kurulmasına ilişkin yönetmelik teklifi yayımladı. Kurulması planlanan merkezle, sağlık verilerinin etkili kullanılması amaçlanmakta ve standartları, pratikleri, altyapısı ve yönetim kuralları olan sağlık odaklı bir ekosistem oluşturulması planlanmaktadır. Böylece kişiler, sağlık verilerine dijital olarak hem ulusal seviyede hem de tüm Avrupa’da erişim sağlayabilecek, sağlık kayıtları tek bir sistemde toplanabilecektir. Anılan teklife buradan ulaşabilirsiniz.
• 16.05.2022’de Avrupa Veri Koruma Kurulu (EDPB) Avrupa Genel Veri Koruma Tüzüğü Kapsamında İdari Para Cezalarının Hesaplanmasına Yönelik 04/2022 sayılı Kılavuzu kamuoyu görüşüne açtı ve görüşlerin 27.06.2022 tarihine kadar sunulması gerektiğini duyurdu. İlgili kılavuza buradan ulaşabilirsiniz.
• İngiltere devleti, veri koruma mevzuatında yapılması planlanan değişikliklere ilişkin olarak kamuoyu görüşlerini kabul etmeye başladığını 10.09.2021 tarihinde duyurmuştu. 23.06.2022 tarihinde ise, bildirilen görüşlere ilişkin cevap niteliğinde bir duyuru yayımlandı. Söz konusu duyuru kapsamında, yapılacak reformlar ile etkili ve orantılı koruma tesis etmek üzere kuruluşlara esneklik sağlamanın, mevzuat ile tesis edilen belirliliği zedelemeden değişimlere uyumlu bir yapı kurmanın, halihazırda mevzuat ile uyumlu veri işleme faaliyetleri yürütenler için az sayıda yeni yükümlülük getirmenin, işletmeler ve toplum için bir bütün olarak fayda sağlamanın ve Bilgi Komisyonu Ofisi’nin (“ICO”) denetim faaliyetlerini, hesap verilebilirliğini ve şeffaflığını iyileştirmenin esas olduğu bildirildi. İlgili duyuruya buradan ulaşabilirsiniz.
• ICO, Covid-19 önlemlerinde normalleşmeye gidilirken, işverenlerin verilerin korunması kapsamındaki sorumlulukları hakkında öneriler içeren bir duyuru yayımladı. Covid-19 kapsamında alınan önlemler uyarınca işlenen verilerin hala gerekli olup olmadığının ve yaklaşımlarının gözden geçirilmesi, veri işleme faaliyetlerinin hala makul, adil ve orantılı olup olmadığının değerlendirilmesi, duyuruda yer verilen önerilerdendir. Aşı bilgisinin toplanması ile neyin amaçlandığı ve ilgili kişilere aşı durumlarının sorulmasının belirlenen amaca nasıl hizmet ettiği konularında açık olmaları gerektiği ise dikkat çeken önerilerden bir diğeridir. Anılan duyuruya buradan ulaşabilirsiniz.
• Hong Kong Kişisel Veri Koruma Otoritesi, Kişisel Verilerin Sınır Ötesi Aktarımı için Model Sözleşme Maddelerine İlişkin Kılavuz yayımladı. Kılavuz ile model sözleşme maddeleri, veri sorumlusundan veri sorumlusuna aktarım ve veri sorumlusundan veri işleyene aktarım olarak iki grupta düzenlenir. Ayrıca model sözleşme maddeleri, Hong Kong’ta bulunan bir kuruluş ile Hong Kong dışında bulunan bir kuruluş arasındaki veri aktarımları ve Hong Kong dışında bulunan iki kuruluş arasındaki aktarımlar bakımından uygulama bulur. Söz konusu model sözleşme maddeleri iyi uygulama örnekleri olarak değerlendirilir ve öneri niteliğindedir. İlgili Kılavuza buradan ulaşabilirsiniz.
• 25.05.2022 tarihinde, Avrupa Komisyonu, AB Model Sözleşme Hükümleri’ne ilişkin olarak 44 soru ve cevaptan oluşan bir set yayımladı. İlgili set kapsamında, model sözleşme hükümleri, veri sorumlusu ile veri işleyenler tarafından benimsenecek model sözleşme hükümleri ve yurt dışına veri aktarımına ilişkin model sözleşme hükümleri olmak üzere iki grupta değerlendirildi. Ayrıca, imza, tadil, diğer sözleşme hükümleri ile ilişki ve taraf değişiklikleri gibi model sözleşme hükümlerine dair genel açıklamalara da yer verilir. Anılan belgeye buradan ulaşabilirsiniz. 
• 21.04.2022 tarihinde, Google, çerezler bakımından verilen izinler ve çerezlerin yönetilmesinde kullanılan altyapı hakkında yürüttüğü güncelleme çalışmalarının tamamlandığını duyurdu. Söz konusu güncelleme, Google arama motorunda ve Youtube’da uygulanmaya başlayacak ve Avrupa’daki kullanıcılar bakımından geçerli olacaktır. Yeni uygulama uyarınca Google arama motoru ve Youtube kullanıcılarına, çerez izin sayfalarında, eşit “hepsini reddet” ve “hepsini kabul et” seçeneği sunulacak. Anılan duyuruya buradan ulaşabilirsiniz. 
• Avusturya ve Fransa Veri Koruma Otoritelerinden sonra, 09.06.2022 tarihli kararı ile İtalya Veri Koruma Otoritesi de Google Analytics kullanımının AB veri koruma mevzuatına aykırı olduğuna karar verdi. Kararda, Caffeina Media S.r.l. adlı şirketin Google tarafından sunulan söz konusu hizmeti kullanımı sonucu ABD’ye veri aktarımı gerçekleştirdiği ve veri aktarımına ilişkin gerekli koruma tesis edilmediği değerlendirmesiyle, Google Analytics kullanımının Genel Veri Koruma Tüzüğü’ne aykırılık teşkil ettiğine karar verilmiştir. Karara buradan ulaşabilirsiniz. 
• 15.04.2022 tarihinde Fransız Veri Koruma Otoritesi; Dedalus Biolgie’ye yaklaşık 500.000 kişinin sağlık verisinin sızdırılması sonucu veri güvenliği yükümlülüklerini yerine getirmediği değerlendirmesiyle 1,5 milyon Euro idari para cezası verdi. İlgili Kararın duyurusuna buradan ulaşabilirsiniz.
• 23.05.2022’de ICO, ABD merkezli ve dünyanın ileri gelen yüz tanıma ağı sunucularından Clearview AI Inc’e (“Clearview”) Birleşik Krallık Genel Veri Koruma Yönetmeliği’ni ihlal etmesi gerekçesiyle 7.552.800 Euro idari para cezası uyguladı ve Clearview’den halka açık çevrimiçi kaynaklardan Birleşik Krallık’ta bulunan kişilerin kişisel verilerini toplama faaliyetlerini sonlandırmasını ve toplanan verileri sistemlerinden silmesini talep etti. İlgili karara buradan ulaşabilirsiniz.
• 19.05.2022 tarihinde yayımlanan kararı ile İtalyan Veri Koruma Otoritesi; rızasız veri işleme ve İtalyan Veri Koruma Otoritesi nezdinde bildirim yükümlülüğünü yerine getirmeme dahil olmak üzere veri işleme süreçlerinde gerçekleştirdiği ihlallerden dolayı Uber’e 4,2 milyon Euro idari para cezası verdi. İlgili karara buradan ulaşabilirsiniz. 
• Avrupa Parlamentosu Araştırma Servisi, 14.07.2022 tarihinde, Avrupa Parlamentosu ve Avrupa Konseyi’nin verilere adil erişim ve veri kullanımı hakkında olan ve 23.02.2022 tarihinde yayımlanan uyumlaştırılmış düzenleme teklifine (“Veri Yasası”) ilişkin etki değerlendirmesi hakkında bilgilendirme metni (“Bilgilendirme Metni”) yayımladı. Konuya ilişkin Müvekkil Duyurumuza buradan ve Bilgilendirme Metnine buradan ulaşabilirsiniz.
• Avrupa Parlamentosu Araştırma Servisi “Yönetim Verileri ve Herkes için Yapay Zeka” başlıklı çalışmayı yayımladı. Özellikle yapay zekaya odaklanan bu çalışma, AB’nin veri yönetimi çerçevesini veri adaleti perspektifiyle uyumlu hale getirecek politikaları belirlemekte ve incelemektedir. İlgili çalışmaya buradan ulaşabilirsiniz.
• İtalya Veri Koruma Otoritesi, Çin merkezli video paylaşım sitesi TikTok uygulamasına, kullanıcı gizliliğinin korunmasına ilişkin Avrupa Birliği’nin kurallarını ihlal ettiği gerekçesiyle resmi uyarıda bulundu. İlgili karara buradan ve karar açıklamasına buradan ulaşabilirsiniz.