Kişisel Verilerin Korunması Bülteni - 2022 3. Çeyrek

Türkiye’den Güncel Gelişmeler

Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı Hakkında Kamuoyu Duyurusu Yayımlandı

24.08.2022 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) resmi internet sitesinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı (“Rehber Taslağı”) yayımladı.

Rehber Taslağı’nın hazırlanma amacı, özel nitelikli kişisel veri olarak nitelendirilen genetik verilerin işlenmesi neticesinde toplumun tamamını etkileyebilecek, ulusal, stratejik sonuçlar doğabileceğinden, bu tür verilerin belirli kural ve prosedürlere bağlı olarak işlenmesinin sağlanması ve bu konuda toplumsal farkındalığın oluşturulmasıdır. Görüş ve değerlendirmeler 24.09.2022 tarihine dek toplanmış olup rehberin final versiyonunun ilerleyen günlerde yayımlanması beklenmektedir.

Bankacılık Sektöründe Kişisel Verilerin Korunmasına İlişkin Rehber Yayımlandı:

Kurum, 05.08.2022 tarihinde Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberini (“Rehber”) yayımladı. Rehber’in amacı bankalar tarafından yürütülen kişisel veri işleme faaliyetlerinin mevzuata uygun gerçekleştirilmesini sağlamak ve bankalara iyi uygulama örnekleri sunmaktır. Rehber’e buradan ve konuya ilişkin müvekkil duyurusuna buradan ulaşabilirsiniz.

Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Genelge Yayımlandı:

11.08.2022 tarihinde Bankacılık Düzenleme ve Denetleme Kurumu tarafından Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin Uygulanması Hakkında Açıklamalara ilişkin 2022/1 sayılı Genelge (“Genelge”) yayımlandı. Genelge, Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin (“Yönetmelik”) uygulanmasında yaşanabilecek tereddütleri giderme amacı taşır.

Bu kapsamda, Yönetmelik’te sır niteliğinde bilginin tanımı yapılarak banka ve müşteri sırrı niteliğindeki bilgilerin paylaşım ve aktarımlarına ilişkin kapsam, şekil, usul ve esaslar belirlendi.

Genelge’ye buradan ve konuya ilişkin müvekkil duyurusuna buradan ulaşabilirsiniz.

Önemli Kurul Kararları

 “El Geometrisi” Bilgisinin Binaya Giriş Yapabilmek Amacıyla Açık Rıza Olmaksızın İşlenmesine Dair Kurul Kararı

El Geometrisi Terminali adlı bir cihaz aracılığıyla elde edilen avuç içi ve parmak izi bilgisinin açık rıza olmaksızın işlendiği iddia olunan bir şikayete ilişkin kararda Kişisel Verilerin Korunması Kurulu (“Kurul”), el geometrisi verisinin biyometrik veri olduğunu tespit etmekle birlikte bu verilerin ancak ilgili kişinin açık rızasının bulunması veya kanunlarda açıkça öngörülmesi halinde işlenebileceğine dikkat çekti. Kurul, özel nitelikli kişisel veri niteliğini haiz biyometrik verilerin 6698 sayılı Kişisel Verilerin Koruması Kanunu (“KVKK”) m. 6’daki hiçbir şart olmadan işlenmesinin kanuna aykırı olması nedeniyle idari para cezası uygulanmasına, uygulamanın ivedilikle durdurulmasına ve geçmişte toplanan verilerin yok edilmesine karar verdi. Kurul bu değerlendirmeyi yaparken uygulamadan etkilenen kişi sayısını da dikkate aldı.

İlgili karar özetine buradan erişebilirsiniz.

Sadakat Karta Özel İndirimler Uygulanmasının Açık Rızanın Koşul Olarak Dayatılması Anlamına Gelmediğine Dair Kurul Kararı

Veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı, söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı belirtilerek veri sorumlusu hakkında ihbarda bulunulmuştur. Kararda, sadakat kart programına dahil olmak istemeyen veya söz konusu program dahilinde açık rıza vermek istemeyen ilgili kişilerin mağazalardan alışveriş yapma imkanının ortadan kaldırılmadığı ve sadakat programına üye olmayan müşterilere indirimsiz fiyatlar üzerinden satış yapılmaya devam edildiği, sadakat programı kapsamında ürün/hizmetlerin ek menfaat ile indirimli olarak sunulmasının açık rızanın koşul olarak dayatılması anlamına gelmediği değerlendirildi.

İlgili karar özetine buradan erişebilirsiniz.

İlgili Kişinin Kişisel Verilerinin İş Akdinin Sona Erdiği Veri Sorumlusu Şirket Tarafından İşlenmesine Dair Kurul Kararı

Kuruma intikal eden dilekçede özetle; kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve ilgili kişi yurt dışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları hakkında ihbarda bulunuldu.

Kurul, (i) aydınlatma ve açık rıza metinlerinin ayrı ayrı düzenlenmesi gerektiğini; bu şekilde düzenlenmeyen metinler kapsamında yapılan aydınlatmaların usulüne uygun yapılmadığı, (ii) özel nitelikli kişisel verilerin işlenmesine dair açık rıza beyanının iş sözleşmesiyle birleşik olarak sunulması sebebiyle ilgili kişinin bu konuda açık rıza verip vermeme konusundaki kararının özgür iradeye dayandığından söz edilemeyeceği değerlendirildi. Aynı zamanda Kurul, ilgili kişiye ait parmak izi ve yüz tarama verilerinin şirket çalışanlarının güvenliğinin sağlanması amacıyla işlenmesinin orantısız olduğu, aynı amaca biyometrik verilerin işlenmesini gerektirmeyen manyetik kart okuyucu ve kontrol listesi gibi yöntemlerle de ulaşılabilmesi mümkün iken biyometrik veri işlenmesi yoluna gidilmesinin KVKK’nın genel ilkelerinden ölçülü olma ilkesine uygun olmadığı sonucuna vardı.

İlgili karar özetine buradan erişebilirsiniz.

İnternet Üzerinden Sipariş Üzerine Faturanın Yanlış Muhataba Gönderilmesi Hakkında Kurul Kararı

Kurul kararına konu olayda özetle; şikayetçinin kendisi ile aynı isme sahip bir şahıs internet üzerinden hizmet veren veri sorumlusuna üye olmuş ve sipariş vermiş; sipariş verilirken ilgili kişiye ait e-posta adresi kullanılmış ve veri sorumlusu e-posta adresinin doğruluğunu kontrol etmeden ve onaylamadan üyelik işlemini gerçekleştirmiş ve hatta siparişe dair faturayı şikayetçiye göndermiştir. Kurul, veri sorumlusunun faturanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine ve dolaylı olarak faturada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verdiğini dikkate alarak veri sorumlusunun KVKK’dan doğan güvenlik yükümlülüklerini yerine getirmediğini değerlendirdi. Bu doğrultuda da söz konusu işleme faaliyetinin KVKK m. 6’da yer alan herhangi bir işleme şartına dayanmadığına ve idari para cezası verilmesi gerektiğine hükmetti.

Kararda ayrıca Kurul tarafından söz konusu olaya ilişkin KVKK’nın Avrupa Birliği Genel Veri Koruma Tüzüğüne göre öncelikli olduğu ve öncelikle KVKK’ya uyum sağlanması gerektiği vurgulandı.

İlgili karar özetine buradan ulaşabilirsiniz.

Bir Bankanın Çağrı Merkezi Tarafından İlgili Kişinin Telefon Numarasının Üçüncü Kişilerle Paylaşılması Hakkında Kurul Kararı

Kuruma intikal eden şikâyete konu olayda, ilgili kişi tarafından üçüncü bir kişinin kartı banka ATM’sinde bulunmuş akabinde veri sorumlusu bankanın çağrı merkezi ile iletişime geçilmiş ve -görüşme sırasında çağrı merkezi yetkilisi tarafından ilgili kişinin telefon numarasını kart sahibi üçüncü kişiyle paylaşmak suretiyle kartın ilgili kişiden teslim alınmasının önerildiği ve bu çözüm önerisine ilgili kişinin rıza göstermediği anlaşılmıştır. Buna karşın, ilerleyen saatlerde kart sahibi tarafından ilgili kişiye şahsi telefon numarası üzerinden mesaj gönderilmiş, işlenen verilerin ilgili kişinin açık rızası olmamasına rağmen kart sahibine iletildiği anlaşılmıştır.

Kurul çağrı merkezi aracılığıyla banka ile iletişim kurulduğunda arayan kişiye KVKK aydınlatma metninin sunulduğunu, aynı zamanda veri sorumlusu tarafından iletilen belgelerde, ilgili kişinin veri sorumlusunun internet sitesi üzerinden başvuruda bulunurken, “Kişisel Verilerin Korunması Kanunu kapsamında yapılan Bilgilendirmeyi okudum, anladım” kutucuğunun işaretlendiğini tespit ederek aydınlatma yükümlülüğünün yerine getirildiğini değerlendirdi.

Buna karşılık, ilgili kişinin verisinin KVKK’ya aykırı şekilde açık rızası olmaksızın üçüncü kişiyle paylaşılması halini KVKK’ya aykırı bularak ilgili banka açısından idari para cezasına karar verdi.

İlgili karar özetine buradan ulaşabilirsiniz.

Veri Sorumlusu Tarafından Hasta Kaydı Açılması Amacıyla Elde Edilen Kişisel Verilerin Açık Rıza Alınmaksızın Ticarî Elektronik Ileti Gönderilmesi Amacıyla Kullanmasına Dair Kurul Kararı

Kurum’a intikal eden şikayette; (i) ilgili kişinin e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticarî içerikli bir ileti gönderildiği, bu durumun 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun m. 6/1’deki “Ticarî elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir…” hükmüne aykırılık teşkil ettiği, (ii) kişisel verilerin işlenmesi için açık rıza alınmadığı ve özel şartların sağlanmadığı iddia edilmiştir. Kurul, hasta kaydı açılması sırasında ilgili kişinin veya refakatçilerinin iletişim bilgilerinin temin edilmesinin KVKK’ya aykırı olmadığını; ancak elde edilme amacıyla bağımsız olarak tıbbî bilgilerin ticari amaçlı kullanılmasının yasaya aykırılık teşkil ettiğini değerlendirdi.

İlgili karar özetine buradan ulaşabilirsiniz.

Kurul’un Araç Kiralama Programları Yazılımcısı ve Satıcısı Firmalar Tarafından Oluşturulan Kara Liste Programları Hakkında Kararı:

Kurul’a intikal eden ihbarda, araç kiralama yazılımı kullanan araç kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, aynı yazılımları kullanan diğer araç kiralama şirketlerinin ilgili müşterilerin kişisel verilerini rızaları olmaksızın uygulamadaki kara liste havuzundan görebildiği belirtildi.  

Kurul söz konusu karar kapsamında öncelikle araç kiralama programı yazılım şirketleri ve araç kiralama firmalarının veri sorumlusu sıfatını ayrıntılı olarak değerlendirdi ve veri sorumluluğu sıfatının tespiti için bazı kriterler belirledi. Somut olay dikkate aldığında ise, her ne kadar araç kiralama firmaları ile yapılan sözleşmelerde sorumsuzluk kaydı olsa da, araç kiralama firmalarının uygulamaya girerek kaydettiği verilerin kendi ticari faaliyetleri kapsamında bir kuruluştan diğerine nasıl aktarılacağına (hangi araç kiralama firmalarının kara listeyi görüntüleyebileceğine) karar vermesi hallerinde yazılım şirketlerinin de veri sorumlusu olarak hareket edeceği kanaatine varıldı. Sonuç olarak araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile birlikte ortak veri sorumlusu olarak hareket ettiğine ve işlenen verilerin imha edilmesi için taraflara talimat verilmesine karar verildi. Ortak veri sorumlusu kavramı KVKK’da bulunmadığından bu kavramın ayrıntılarını içermesi nedeniyle söz konusu Karar önem arz eder.

Karar’da ayrıca araç kiralama firmalarının müşterileri hakkında yaptıkları değerlendirmelerin ortak bir veri tabanına kaydedilmesi ve diğer firmaların bu alana yorum ekleyebilmesi müşteri sırrı (ticari sır) ifşası ve kişisel verilerin ifşası olarak değerlendirildi.

İlgili karar özetine buradan ulaşabilirsiniz.

Yurt Dışında Yerleşik Veri Sorumlusunun Türkiye’deki İrtibat Bürosu Tarafından Çalışanların Kişisel Verilerinin İşlenmesi Hakkında Kurul Kararı:

Kurum’a intikal eden şikâyet dilekçesi, ilgili kişinin yurtdışında yerleşik veri sorumlusunun Türkiye’deki irtibat bürosuna ilişkindir. Şikâyet dilekçesinde; (i) işe alım sürecinde irtibat bürosu tarafından adli sicil kaydı, sağlık raporu, akciğer filmi raporu, kan grubu belgesi, ehliyet fotokopisi, evlilik cüzdanı fotokopisi ve aile bireylerinin nüfus cüzdanı fotokopilerinin talep edildiği ve belgelerin teslim edildiği, (ii) aile bireylerinin nüfus cüzdanı bilgilerinin talep edilmesinin yasaya aykırı olduğu, (iii) veri sorumlusunun yurt dışında yerleşik olması sebebiyle, elde edilen kişisel verilerin yurt dışına da aktarılmış olabileceği iddia edildi.

Kurul, Türkiye’deki irtibat bürosunun ticarî faaliyet yürütmeyen, tüzel kişiliği bulunmayan, yalnızca “Haberleşme ve Bilgi Aktarımı” faaliyetinde bulunan bir irtibat bürosu olduğunu ve ilgili kişiyi istihdam eden işverenin irtibat bürosu olmadığını değerlendirdi. Ayrıca veri sorumlusu sıfatının yurt dışında yerleşik şirket olduğu kanaatine vardı.

İlgili kişinin kişisel verilerinin yurt dışında yerleşik şirket tarafından iş sözleşmesi kapsamında yerleşik ülke hukuku doğrultusunda elde edildiği, iş akdinin ifası için ilgili kişiye ait kişisel verilerin yurt dışında işlenmesinin gerektiği ve açık rızasının alınmış olduğu anlaşıldığından, ilgili kişiden alınan açık rızanın hukuka uygun olduğu tespit edildi.

İlgili karar özetine buradan ulaşabilirsiniz.

Dünyadan Güncel Gelişmeler

İrlanda Veri Koruma Otoritesi’nden Instagram’a Rekor Ceza

İrlanda Veri Koruma Otoritesi (“DPA”), Avrupa Veri Koruma Kurulu’nun (“EDPB”) 28.07.2022 tarihli kararını takiben 15.09.2022 tarihinde Instagram’a (Meta Platforms Ireland Limited) 405 milyon Avro idari para cezası verilmesine karar verdi. Karar, Instagram’ın Instagram işletme hesabı özelliğini kullanan çocukların e-posta adreslerini ve/veya telefon numaralarını kamuya açıklamasına ve çocukların kişisel Instagram hesapları için varsayılan “herkese açık” ayarına ilişkindir. Söz konusu ceza, Genel Veri Koruma Tüzüğü'nün (“GDPR”) yürürlüğe girmesinden bu yana verilen en yüksek ikinci ceza olması ve çocukların veri koruma haklarına ilişkin Avrupa Birliği (“AB”) çapında verilen ilk karar olması bakımından önem taşır.

EDPB'nin resmî sitesinde yer alan duyuruya buradan ulaşabilirsiniz.

İtalyan Veri Koruma Otoritesi’nden Unicredit S.p.A.’ya İdari Para Cezası

İtalyan Veri Koruma Otoritesi (“DPA”) veri sorumlusuna 70.000 Avro idari para cezası karar verdi ve veri sahibinin erişim talebinin yerine getirilmesine hükmetti. DPA, veri erişim talebine yönelik herhangi bir cevap için ön koşul olarak form doldurulması gerektiği yönünde Unicredit S.p.A. tarafından verilen cevabın esastan yoksun olduğunu değerlendirdi. Ayrıca, Unicredit S.p.A. tarafından sağlanan form kullanılmadan gönderilen erişim taleplerinin dikkate alınmadığı tespitinde bulundu. DPA, kişinin kişisel verilerine erişim hakkı ile bilgi edinme hakkının karşılıklı ilişki içinde olduğunu da değerlendirdi.

EDPB'nin resmî sitesindeki duyurusuna buradan ulaşabilirsiniz.  

Güney Kore Veri Koruma Otoritesi’nden Google ve Meta’ya Ceza

Güney Kore Veri Koruma Otoritesi (“DPA”), 14.09.2022 tarihinde, davranışsal bilgileri toplarken ve analiz ederken kullanıcılarını açık bir biçimde bilgilendirmedikleri ve önceden onaylarını almadıkları gerekçesiyle Google LLC’ye yaklaşık 50 milyon Avro; Meta Platforms, Inc. Şirketi’ne ise yaklaşık 22 milyon Avro para cezası verdi.

İlgili habere buradan ulaşabilirsiniz.

Hukuk Komisyonu Dijital Varlıklara İlişkin Müzakere Belgesini Yayımladı

Birleşik Krallık Hükümeti, kripto-tokenler ve diğer dijital varlıklara yönelik teknolojilerin olanaklarının gelişmesine izin verecek şekilde hukukun uyumlu hale getirilmesini sağlamak için reform önerisinde bulundu. Bu öneri üzerine ise, Hukuk Komisyonu 18.07.2022 tarihinde bir müzakere belgesi yayımladı. Belgede sunulan teklifler, rekabeti ve hukukun dinamiklerini koruyarak dijital varlık teknolojisini içeren işlemleri desteklemeyi amaçlar.

Duyuruya buradan ulaşabilirsiniz.

Volkswagen’e GDPR İhlalleri Nedeniyle 1,1 Milyon Avro Ceza Verildi

26.07.2022 tarihinde, Aşağı Saksonya Veri Koruma Otoritesi (“DPA”), GDPR ihlalleri nedeniyle Volkswagen’e 1,1 milyon Avro idari para cezası verilmesine karar verdiğini açıkladı. DPA, Volkswagen’in 2019 yılında, sürüş destek sistemini test ederken hata analizi amacıyla çevredeki trafik durumunu kaydetmek için test aracına kameralar bağlandığını; ancak kayda alınabilecek diğer sürücülerin bilgilendirilmediği, test sürüşü öncesinde etki değerlendirmesi yapılmadığı, test sürüşünü yapan firma ile arasında kişisel verilerin korunmasına dair sözleşme imzalanmadığı gerekçeleriyle veri koruma düzenlemelerini ihlal ettiği sonucuna vardı.

İlgili duyuruya buradan (Almanca), karar ilişkin habere ise buradan ulaşabilirsiniz.

Hollanda Danıştay’ı Ticari Menfaatin Meşru Bir Menfaat Teşkil Edip Etmediğini Tartışıyor

27.07.2022 tarihinde Hollanda Danıştay’ı (“Danıştay”), Hollanda Veri Koruma Otoritesi’nin (“DPA”) Voetbal TV’ye meşru menfaat kavramını hatalı bir şekilde yorumlayarak 575.000 Avro para cezası verdiğini tespit etti; ancak sadece “ticari menfaat”in GDPR kapsamında meşru bir menfaat olup olamayacağına dair net bir cevap vermedi. Öte yandan, AB Komisyonu da DPA’nın meşru menfaate ilişkin katı yorumuna mesafeli durmakla birlikte kârın maksimize edilmesi gibi salt ticari amaçların “meşru menfaat” olarak kabul edilmeyeceğini öne sürer. Danıştay’ın de benzer bir yaklaşımı benimsediği ve benzer endişeleri paylaştığı görülür.

Karara ilişkin habere buradan ulaşabilirsiniz.

Rusya’dan Veri Koruma Reformları

Rusya Parlamentosu ve Rusya Federasyonu Devlet Başkanı, Temmuz 2022’de kişisel verilere ilişkin mevcut yasada uygulama kapsamı, sınır ötesi veri aktarımları, ihlal bildirimleri, veri sahiplerine yönelik ek güvenceler bakımından değişiklikler içeren yasayı kabul etti.

Yasayla ilgili habere buradan ulaşabilirsiniz.

Çin Siber Uzay İdaresi tarafından Verilerin Yurt Dışına Çıkarılması Hakkında Güvenlik Değerlendirmesine İlişkin Tedbirlerin Nihai Versiyonu yayımlandı

Çin Siber Uzay İdaresi (“CAC”), 07.07.2022 tarihinde Verilerin Yurt Dışına Çıkarılması Hakkında Güvenlik Değerlendirmesine İlişkin Tedbirlerin Nihai Versiyonu’nu yayımladı. Çin Kişisel Verilerin Korunması Kanunu (“PIPL”) m. 40 uyarınca, kişisel verileri yurt dışına aktaracak veri işleyenlerin ve kritik veri tabanı operatörlerinin öncelikle Devlet Siber Güvenlik ve Bilişim Dairesi tarafından düzenlenen bir güvenlik değerlendirmesinden geçmeleri gerekir. Söz konusu tedbirler 01.09.2022 tarihinde yürürlüğe girdi.

İlgili habere buradan ulaşabilirsiniz.

Avrupa Veri Koruma Kurulu’nun Rusya Federasyonu’na Veri Aktarımlarına Ilişkin Açıklaması

EDPB, Rusya’nın Avrupa Konseyi çerçevesinde imzalanan sözleşme ve protokollere artık taraf olmadığını, bu nedenle Rusya’nın GDPR m. 45 uyarınca Avrupa Komisyonu’nun yeterlilik kararından yararlanamayacağını ve sonuç olarak Rusya’ya veri aktarımlarının GDPR Bölüm V kapsamındaki mekanizmalardan biri kullanılarak gerçekleştirilmesi gerektiğini belirtti. Avrupa Adalet Divanı’nın Schrems II kararını ve EDPB’nin tamamlayıcı tedbirlere ilişkin tavsiyelerini takiben, yurt dışına veri aktaranlar Rusya’da yürürlükte olan kanun ve/veya uygulamalarda gerekli tedbirlerin etkinliği açısından olumsuz bir etkiye sahip olabilecek herhangi bir husus olup olmadığını değerlendirmelidir.

Basın Açıklamasına buradan ulaşabilirsiniz.

Fransız Veri Koruma Otoritesi, Fransız Criteo Şirketine Mevzuata Uymadığı Gerekçesiyle 60 Milyon Euro İdari Para Cezası Uyguladı

Fransız Veri Koruma Otoritesi (“CNIL”), uzun yıllar süren soruşturma sonucunda Criteo’ya 60 milyon Avro idari para cezası uyguladı. Söz konusu ceza, Criteo’nun hedefli reklamcılık ve kullanıcı profilleme ile ilgili veri işleme uygulamalarına ilişkin olarak 2018 yılında yapılan bir şikâyetin soruşturulmasına dayanıyor.  

Criteo'nun basın açıklamasına buradan ulaşabilirsiniz.

Sağlık Verisi Ambarı Oluşturan Veri Sorumluları için CNIL Tarafından Kontrol Listesi Hazırlandı

Sağlık verisi ambarı, özellikle sağlık alanında araştırma, çalışma veya değerlendirme amacıyla kullanılan veri tabanlarıdır. 28.09.2022 tarihinde, bu hassas veritabanlarından sorumlu olanlar için prosedürleri basitleştiren, sıkı bir yasal ve teknik çerçeve sağlayan ve Ekim 2021’de onaylanan standarda uyum sağlayıp sağlamadıklarını tespit etmeleri için sağlık veri ambarlarının oluşturulması amacıyla yürütülen kişisel veri işleme faaliyetlerine yönelik bir kontrol listesi yayımlandı. Kontrol listesi kapsamındaki cevaplardan birinin olumsuz olması halinde, veri sorumlularının CNIL'den özel bir yetkilendirme talep etmeleri gerekir.

Basın açıklamasına buradan (Fransızca) ve ilgili habere buradan ulaşabilirsiniz.

UBEEQO International’a CNIL Tarafından İdari Para Cezası Verildi

CNIL, 07.07.2022 tarihinde Ubeeqo International’a 175.000 Avro para cezası uyguladı. Bir araç kiralama hizmeti sağlayıcısı olarak faaliyet gösteren Ubeqoo’nun müşterilerin coğrafi konum verilerini sürekli olarak topladığı ve bu verileri gereğinden fazla bir süre boyunca sakladığı ve böylece GDPR’ı ihlal ettiği tespit edildi. CNIL, konum verilerinin hassas nitelikte veriler olduğunu ve yalnızca zorunlu olması halinde toplanabileceğini vurguladı.

Karara ilişkin basın duyurusuna buradan ulaşabilirsiniz.

Amazon’a Verilen 35 Milyon Avro’luk Ceza Onandı

Fransız Danıştay’ı, GDPR kapsamında Amazon’a çerez ihlali teşkil eden izinsiz çerez kullanımı nedeniyle 35 milyon Avro idari para cezası veren CNIL’nin kararını onadı. Amazon’un ihlalleri, çerezleri izinsiz kullanmak ve kullanıcıları uygulama hakkında bilgilendirmemekten kaynaklanıyor.

Karara ilişkin basın duyurusuna buradan (Fransızca), habere buradan ulaşabilirsiniz.

Belçika Veri Koruma Otoritesi’nin Kişisel Sağlık Bilgilerinin Açıklanmasına İlişkin Kararı

Belçika Veri Koruma Otoritesi’nin (“DPA”) bir kamu kurumunun GDPR’ı ihlal ettiği sonucuna vardığı kararı, çalışanın sağlık verilerinin kendisinin bulunmadığı bir insan kaynakları departmanı toplantısında paylaşılması, bu verilerin tutanağa kaydedilmesi ve bir sunucuda diğer çalışanların da görüntüleyebileceği şekilde kaydedilmesi ile ilgilidir. DPA, bir çalışanın özel nitelikli sağlık verilerinin gerekmediği halde diğer çalışanlara iletilmesinin ve tutanağa kaydedilmesinin “hukuka uygun veri işleme” olarak değerlendirilemeyeceğini belirtti.

Karara ilişkin habere buradan ulaşabilirsiniz.

“Veri Erişim Anlaşması”na İlişkin ABD ve İngiltere’den Ortak Açıklama

ABD ve Birleşik Krallık, ciddi suçları önlemek ve bunlarla mücadele etmek amacıyla 03.10.2022 tarihinde bir veri erişim anlaşması yürürlüğe koymak üzere 21.07.2022 tarihinde ortak bir bildiri yayımladı. Anlaşma, ciddi suçlarla mücadele ederken kişisel verilere erişim konusunda her iki ülkenin de soruşturma makamlarını yetkilendirecek.

Anlaşmaya ilişkin basın açıklamasına buradan ulaşabilirsiniz.

Dijital Pazar Yasası ve Dijital Hizmetler Yasası Kabul Edildi

Dijital Pazarlar Yasası (“DMA”) ve Dijital Hizmetler Yasası (“DSA”) 05.07.2022 tarihinde kabul edildi. DMA ve DSA, günlük hayatlarımızın ayrılmaz bir parçası haline gelen çevrimiçi platformlarla ilgili ayrıntılı kuralları kapsar. Söz konusu kurallar AB pazarında uygulanacak olup, temel hakların gözetilmesi gereken dijital alanları daha güvenli ve şeffaf hale getirmeyi amaçlar.

Konuya ilişkin basın duyurusuna ve detaylı bilgiye buradan ulaşabilirsiniz.

Baden-Württemberg’in AB Dışına Veri Aktarımına Ilişkin Kararı

Baden-Württemberg İhale Dairesi, tartışmalı bir kararı ile (13.07.2022 tarihli ve Ref. 1 VK 23/22 numaralı karar) sadece veriye erişim olasılığının dahi fiili bir veri aktarımı kabul edilmesi gerektiği yönündeki görüşünü açıkladı ve karara konu olayda verilerin üçüncü bir ülkeye hukuka aykırı bir şekilde aktarıldığını değerlendirdi.

Baden-Württemberg İhale Dairesi’nin “Aktarım” kavramını geniş şekilde yorumladığı bu kararı 07.09.2022 tarihinde Karlsruhe Yüksek Bölge Mahkemesi tarafından bozulduğu için bağlayıcı olmayacaktır. Bu görüş onaylanmış olsaydı, bir ABD kuruluşu belirli koşullar altında AB’de bulunan verilere erişebileceğinden, ABD menşeili tüm iştirakler GDPR’ı ihlal etmiş kabul edilebilecekti.

İlgili habere buradan ulaşabilirsiniz.

Birleşik Krallık Ulusal Siber Güvenlik Merkezi, Makine Öğrenimi Güvenlik İlkelerine İlişkin Prensipleri Yayımladı

İngiltere’nin siber güvenlik kurumu Ulusal Siber Güvenlik Merkezi, kamu sektörünü ve büyük kuruluşları desteklemek amacıyla kısa bir süre önce bir dizi yeni makine öğrenimi güvenlik ilkeleri yayımladı. Söz konusu ilkelerin amacı, makine öğrenimi (“ML”) bileşenine sahip bir sistemi geliştiren, dağıtan ya da işletenlere yardımcı olmak ve ML sistemlerindeki potansiyel güvenlik açıklarına değinmektir.

Bahsi geçen ilkeler bir sistemi veya iş akışını derecelendirmek için kapsamlı bir denetim çerçevesi ve bir kontrol listesi sunmaz. Bunun yerine, bilim insanlarının, mühendislerin, karar vericilerin ve risk sahiplerinin sistem tasarımı ve geliştirme süreçleri hakkında bilgiye dayalı kararlar almalarına yardımcı olacak bir kapsam ve yapı sunarak sisteme yönelik belirli tehditlerin değerlendirilmesine yardımcı olur.

Kurum’a ait duyuruya buradan ulaşabilirsiniz.

İsviçre’nin Yeni Veri Koruma Kanunu Kabul Edildi:

İsviçre Federal Konseyi Veri Koruma Yönetmeliği’ni ve Veri Koruma Sertifikaları Yönetmeliği’ni kabul etti ve bu yönetmeliklerin revize edilmiş Veri Koruma Yasası ile birlikte yürürlüğe gireceğini duyurdu. Söz konusu düzenlemeler 01.09.2023 tarihinde yürürlüğe girecek.

İlgili kanun metnine buradan ulaşabilirsiniz.

Bülteni pdf formatında indirmek için tıklayınız.