Kişisel Verilerin Korunması Bülteni - 2023 1. Çeyrek

Türkiye’den Güncel Gelişmeler

Kişisel Verileri Koruma Kurumu (“Kurum”), Seçim Faaliyetleri Kapsamında Siyasi Partiler ve Bağımsız Adaylar Tarafından İşlenen Kişisel Veriler Hakkında Kamuoyu Duyurusu ve Söz Konusu Faaliyetlere İlişkin Bilgi Notunu 23.03.2023 Tarihinde Yayımladı

Bilgi notunda öne çıkan hususlar aşağıdaki şekilde özetlenebilir:

• Siyasi partiler tabi oldukları mevzuat çerçevesinde kuruluş, üyelik, aday belirleme, yetkili organlarının seçimi gibi birçok faaliyeti yürütmekte ve bu nedenlerle işledikleri kişisel veriler bakımından veri sorumlusu kabul edilmektedir.
• Türkiye Cumhuriyeti Anayasası, 2820 sayılı Siyasi Partiler Kanunu, 298 sayılı Seçimlerin Temel Hükümleri ve Seçmen Kütükleri Hakkında Kanun (“298 sayılı Kanun”), 2839 sayılı Milletvekili Seçimi Kanunu, 2972 sayılı Mahalli İdareler ile Mahalle Muhtarlıkları ve İhtiyar Heyetleri Seçimi Hakkında Kanun ve 6271 sayılı Cumhurbaşkanı Seçim Kanunu olmak üzere ilgili mevzuatta yer alan hükümler uyarınca, gerçek kişilerin özel nitelikli kişisel veri niteliğindeki siyasi düşüncesinin işlenmesi, Kişisel Verilerin Korunması Kanunu (“KVKK”) madde 6/3 uyarınca ilgili kişinin açık rızası olmaksızın gerçekleştirilebilir.
• 298 sayılı Kanun madde 55/B uyarınca, siyasi partilerin kendi üyelerine sesli, görüntülü veya yazılı mesaj göndermek amacıyla açık rıza olmaksızın iletişim verisi işlemesi mümkündür. Ancak anılan madde uyarınca, vatandaşlara sesli, görüntülü veya yazılı mesaj göndermek suretiyle propaganda yasaklanır ve bu amaçlarla kişisel verilerinin işlenmesi engellenir. 
• 298 sayılı Kanun ve Yüksek Seçim Kurulu tarafından alınan kararlar ile kişilere mesaj göndermek suretiyle propaganda yapılamayacağı sabit olduğundan, bağımsız adayların kişilerin iletişim bilgilerini işlemek suretiyle veri sorumlusu olabilmesinin hukuki bir dayanağı bulunmadığı değerlendirilmektedir.
• Siyasi partilerin kişisel veri işleme faaliyetlerinde KVKK madde 5 ve 6 ile düzenlenen veri işleme şartlarına uygun hareket etmesi, aydınlatma yükümlülüğünü yerine getirmesi ve kişisel veri güvenliğini sağlaması gerekmektedir. Buna karşılık, siyasi partiler VERBİS’e kayıt yükümlülüğünden istisna tutulduğundan, siyasi partilerin sicile kayıt yükümlülüğü bulunmamaktadır. 

Bilgi notuna buradan ulaşabilirsiniz.

KVKK Madde 18 İle Düzenlenen İdari Para Cezaları Yeniden Hesaplandı ve Güncellenen Tutarlar Kurum Tarafından 17.01.2023 Tarihinde Duyuruldu

Duyuruya buradan ulaşabilirsiniz.

Önceki yıllara dair idari ceza tutarlarına buradan ulaşabilirsiniz.

Tiktok Pte. Ltd. Hakkında Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 2023/134 Sayılı Kararı Kurum’un İnternet Sitesinde Yayımlandı

Söz konusu karar ile Kurul, veri sorumlusu şirketin uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığını tespit ederek 1.750.000 TL idari para cezasına karar verdi. 

Kurul’un başlıca değerlendirmeleri;

• Şirket gizlilik politikasının Ocak 2021’de güncellenmesinden önce 13 yaş altı kullanıcıların kişisel bilgilerinin görüntülenmesinin ve ebeveyn izni olmadan 13 yaş altı kullanıcılar hakkında veri toplanmasının çocuklar üzerinde olumsuz sonuç doğurma riskinin bulunduğu,
• Veri sorumlusuna ait internet sitesinde yer alan gizlilik sözleşmesinde KVKK madde 5 ile düzenlenen işleme şartlarının tümünün belirtildiği, ancak hangi kişisel verilerin hangi amaçla ve hangi işleme şartına dayanılarak işlendiği hakkında net bilgi verilmediği, bu nedenle “belirli, açık ve meşru amaçlar için işlenme” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkelerine aykırı hareket edildiği,
• Kullanıcı hesabı oluşturulması sırasında onay alınırken ilgili metnin Türkçe’ye tercüme edilmediği ve kullanım şartlarının tam olarak anlaşılmadan kullanıcılar tarafından kabul edilmesi riskinin doğduğu,
• Hesap oluşturulması ya da hesabın aktif olarak kullanılması sırasında açık rıza alınmadığı, şirketin gizlilik politikasının hem aydınlatma metni hem de açık rıza metni olarak aydınlatma yükümlülüğünü yerine getirmek ve açık rıza metni yerine geçmesi için kullanıldığı ifade edilerek, açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı,
• Şirket tarafından çerez kullanıldığı fakat açık rıza alınmadığı yönündedir.

Kurul kararı özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• 13 yaş altı veri sahiplerinin kişisel verilerinin işlenmesi için ebeveyn izni olup olmadığı kontrol edilmelidir. 
• Aydınlatma yükümlülüğü veri sahiplerinin anlayabileceği dilde yerine getirilmelidir. 
• Aydınlatma metinleri ile açık rıza metinleri ayrı ayrı veri sahibine sunulmalıdır.
• Hangi kişisel verilerin hangi amaçlarla kullanıldığı aydınlatma metinlerinde net bir şekilde belirtilmelidir. 
• İnternet sitelerindeki gizlilik politikaları, aydınlatma metinleri ve açık rıza beyanları gözden geçirilmelidir.

Dünyadan Güncel Gelişmeler

Avrupa Veri Koruma Kurulu, AB-ABD Veri Gizliliği Çerçeve Anlaşması’na İlişkin Görüş Bildirdi

Avrupa Komisyonu (“Komisyon”), 13 Aralık 2022 tarihinde AB-ABD veri gizliliği çerçeve anlaşmasına (“DPF”) için taslak uygunluk kararı (“Karar”) yayınlamıştı. 14 Şubat 2023 tarihinde Avrupa Parlamentosu Sivil Özgürlükler, Adalet ve İçişleri Komitesi ise, taslak önergesinde DPF’nin, koruma düzeyinde gerçek bir eşdeğerlik yaratmadığını belirterek Karar’a karşı çıktı ve Komisyon’u Karar’ı kabul etmemeye davet etti. 28 Şubat 2023 tarihinde, Avrupa Veri Koruma Kurulu (“EDPB”), Karar’a ilişkin bağlayıcı olmayan görüşünü yayımladı. 

EDPB verdiği görüşte, önerilen DPF’nin önemli iyileştirmeler içerdiğini; ancak bazı yönlerinin açıklığa kavuşturulması, geliştirilmesi veya daha fazla detaylandırılması gerektiğini belirtti. EDPB, “veri toplamanın gerçekleştirilebileceği ve gerçekleştirilemeyeceği amaçların, yeni ulusal güvenlik zorunlulukları ışığında ek amaçlarla güncellenebileceğini” değerlendirdi ve “toplu veri toplamanın, bağımsız bir makam tarafından önceden yetkilendirmeyi gerektirmemesini” eleştirdi. EDPB’nin görüşü bağlayıcı olmamakla birlikte Üye Devlet temsilcileri ve Avrupa Parlamentosunun DPF’ye ilişkin değerlendirmelerine direkt olarak etki edeceği değerlendirilir.

Karar’a buradan, taslak önergeye buradan ve görüşe buradan ulaşabilirsiniz.

01 Şubat 2023 tarihinde Komisyon, Dijital Hizmetler Yasası (“DSA”) Kapsamında Aktif Hizmet Alıcılarının Tespiti ve Sayılmasına ilişkin Soru ve Cevapları Yayımladı

DSA ile öngörülen özellikle aktif hizmet alıcıları hakkında bilgi yayınlama yükümlülüğüne ilişkin gelen sorular gözetilerek Komisyon tarafından bu soruları cevaplandıran nitelikte bir rehber yayımladı. Söz konusu rehber ile hizmet sağlayıcıların ilgili bilgileri çevrimiçi ara yüzlerinde yayımlayarak yükümlülüklerini yerine getirebilecekleri ve DSA’nın Komisyon’a veya yetkili Dijital Hizmet Koordinatörüne veya diğer herhangi bir yetkili ulusal makama bildirimde bulunulmasını gerektirmediği açıklığa kavuşturuldu. Bununla birlikte, DSA’nın ilk dönemi için, aracı hizmet sağlayıcıların ilgili bilgileri Komisyon’un e-posta adresine iletmeleri tavsiye edilmektedir.

İlgili rehbere buradan ulaşabilirsiniz.

Çerez Yönetim Araçları Özel Çalışma Komitesi Tarafından Hazırlanan Rapor Yayımlandı

EDPB, çerezlerle ilgili sıkça karşılaşılan şikayetleri değerlendirmek amacıyla Eylül 2021’de Çerez Yönetim Araçları (cookie banner) Özel Çalışma Komitesi’ni oluşturmuştu. “None of Your Business” adlı bir sivil toplum kuruluşu tarafından yapılan şikâyetlere Avrupa Birliği veri koruma otoritelerinin verdiği cevapların koordinasyonundan sorumlu olan komite, 17 Ocak 2023 tarihinde vardığı sonuçları yansıtan bir rapor yayımladı. Raporun çerez yönetim araçlarına dair bir nevi iyi uygulama rehberi olduğu, doğru ve yanlış çerez yönetim araçlarına dair açık örnekler verdiği ve bu nedenle internet sitesi sahipleri açısından yol gösterici bir rehber niteliğinde olduğu söylenebilir. Rapor örneğin “tümünü reddet” butonunun kullanılması gerektiğini veya önceden işaretlenmiş kutucukların uygun bir yöntem olmadığını açıkça ifade etmektedir.  

Rapora buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Çerez kullanan bir internet sitesi veya uygulamaya sahip tüm işletmeler ve kuruluşlar, eğer Avrupa Birliği’nde yerleşik gerçek kişilere yönelik mal ve hizmet sunuyorsa, EDPB’nin çerez yönetim araçlarının tasarımı ve özelliklerine ilişkin iyi uygulama rehberini inceleyerek uyumluluklarını yeniden gözden geçirmelidir.

Ağ ve Bilgi Güvenliği Direktifi 2.0 Yürürlüğe Girdi

16 Ocak 2023 tarihinde yürürlüğe giren ve 2016 tarihli NIS Direktifi’nin yerini alan 2022/2555 sayılı (AB) Direktif (“NIS-2 Direktifi”) Avrupa Birliği’nde siber dayanıklılık düzeyini ve Kritik Ulusal Altyapılarının dayanıklılığını güçlendirmeyi ve siber güvenlik risk yönetimi için entegre bir rejim öngörmeyi amaçlar. NIS-2 Direktifi, siber güvenlik kurallarının kapsamını yeni sektör ve kuruluşları kapsayacak şekilde genişletir. Bu çerçevede NIS-2 Direktifi kapsamı, kritik öneme sahip sektörler ve diğer kritik sektörler olmak üzere iki kategori altında farklı denetim rejimlerine tabi tutulur. Enerji, ulaştırma, bankacılık, mali piyasa altyapısı, sağlık, içme suyu, atık su, dijital altyapı, BİT hizmet yönetimi ve kamu yönetimi kritik öneme sahip sektörler arasında sayılmaktadır. Direktif, 27 Aralık 2022 tarihinde Avrupa Birliği resmî gazetesinde yayımlanmış ve 17 Ocak 2023 tarihinden itibaren yürürlüğe girmiştir. Üye devletlerin Direktifi ulusal mevzuatlarına aktarmak için 21 ay süreleri bulunmaktadır.

NIS-2 Direktifine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• NIS-2 Direktifi kapsamına giren işletmeler ve tedarikçileri, üye devletlerin söz konusu direktifi ulusal yasalarına aktarmalarına hazırlık olarak uyumluluk programlarını geliştirmeyi düşünmelidir.

Komisyon, 2016/679 sayılı (AB) Genel Veri Koruma Tüzüğü’nün (“GDPR”) Uygulanmasını İyileştirmek Amacıyla Geri Bildirim Toplamaya Başladı

Komisyon, GDPR’nin ulusal veri koruma otoritelerince uygulanmasının izlenmesi için oluşturulacak yeni bir sisteme ilişkin geri bildirimler toplamaya başladı. Bu çerçevede, şikayetlerin ele alınması, şikayetlerin şekli, işlemlerin süresi gibi konularda ulusal veri koruma otoriteleri tarafından izlenen yaklaşımlarda birçok farklılık olduğunun ve usule ilişkin bu farklılıkların veri sahiplerinin haklarını etkilediğinin altı çizildi.

Komisyon’un bu çalışması hakkında daha fazla bilgiye buradan ulaşabilirsiniz.

Belçika Anayasa Mahkemesi, Veri Koruma Otoritelerinin Kararlarına Karşı Üçüncü Taraflara Temyiz Hakkı Tanınmamasını Anayasaya Aykırı Buldu

Belçika Anayasa Mahkemesi, 12 Ocak 2023 tarihinde, Veri Koruma Otoritesinin Kurulması Hakkında Kanun Madde 108 § 1’in, ilgili üçüncü tarafların veri koruma otoritelerinin kararlarına itiraz etmesine izin vermediği için Belçika Anayasası’nı ihlal ettiğine karar verdi. Belçika Anayasa Mahkemesi üçüncü tarafları, veri koruma otoriteleri nezdindeki işlemlere taraf olmayan ve bu nedenle kararların muhatabı olmayan, ancak veri koruma otoritelerinin kararlarının bir sonucu olarak olumsuz etkilere maruz kalan ve bu kararların iptal edilmesinde menfaati olan kişiler olarak tanımladı.

Belçika Anayasa Mahkemesi’nin söz konusu kararına buradan (Fransızca) ulaşabilirsiniz.

EDPB Kamu Sektörü Tarafından Bulut Hizmetlerinin Kullanımına İlişkin Rapor Yayımladı

EDPB, 17 Ocak 2023 tarihinde kamu sektörü tarafından bulut hizmetlerinin kullanımına ilişkin bir rapor yayımladı. Kamu kurumları tarafından işlenen verilerin hassas niteliğine ve büyüklüğüne dikkat çeken EDPB, kamu kurumlarının bulut hizmetlerini kullanırken (i) etki değerlendirmesi yapmalarını, (ii) sözleşmede ilgili tarafların rollerini tam olarak tanımlamalarını, (iii) bulut hizmet sağlayıcılarının (“CSP”) kendilerine verilen talimatlara uyup uymadıklarını kontrol etmelerini, (iv) alt veri işleyen kullanımı konusunda kontrol sahibi olmalarını, (v) veri koruma görevlilerinin süreçlere dahil edilmesini teşvik etmelerini, (vi) CSP’lerle müzakere ederken diğer kamu kurumlarıyla işbirliği yapmalarını tavsiye etti.

Rapora buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Kişisel verilerin korunması mevzuatına uyum bulut hizmeti uygulamasının tüm aşamalarında önceliklendirilmeli ve kamu kuruluşları ile bulut hizmet sağlayıcıları henüz çalışmaya başlamadan önce ortaya çıkabilecek uyum sorunlarını tespit ve analiz ederek bu sorunları ortadan kaldırmak için gerekli kaynak ve zamanı ayırmalıdır. 

EDPB’nin Bağlayıcı Kararlarının Ardından İrlanda Veri Koruma Otoritesi (“IE DPA”) Facebook ve Instagram’a İlişkin Kararlarını Verdi

EDPB’nin bağlayıcı uyuşmazlık çözümü kararlarının ardından, IE DPA da Facebook ve Instagram’a ilişkin kararlarını açıkladı. Bu kararlar, Facebook ve Instagram’ın özellikle davranışsal reklamcılık faaliyetleri için veri işlemenin hukuka uygunluğu ve şeffaflığına ilişkin şikâyet temelli soruşturmaların sonucudur. EDPB, bağlayıcı kararlarında, davranışsal reklamcılığın Meta Ireland tarafından sağlanan hizmetlerin temel bir unsuru olmadığını belirtti ve bu nedenle Meta Ireland’ın davranışsal reklamcılık amacıyla kişisel veri işleme faaliyetinin yasal dayanağının sözleşme olarak belirtmesini hukuka aykırı buldu. Sonuç olarak EDPB, IE DPA’ya taslak kararlarını değiştirmesi talimatını verdi. 

IE DPA EDPB’nin bulgularının büyük çoğunluğunu kabul ederek Meta Ireland hakkında Facebook kararı kapsamında 210 milyon Avro, Instagram kararı kapsamında ise 180 milyon Avro para cezası uygulanmasına karar verdi. Meta Ireland’a ayrıca, veri işleme faaliyetlerini üç aylık bir süre içerisinde GDPR ile uyumlu hale getirmesi talimatı verildi.

EDPB’nin bağlayıcı kararlarına ilişkin duyurumuza Kişisel Verilerin Korunması Bülteni - 2022 Dördüncü Çeyrek’ten, EDPB’nin basın açıklamasına ise buradan ulaşabilirsiniz.

Avrupa Parlamentosu, Veri Yasası Konusundaki Tutumunu Açıklığa Kavuşturdu

Avrupa Parlamentosu Sanayi, Araştırma ve Enerji Komitesi, verilere adil erişim ve veri kullanımına ilişkin yeknesak kurallar hakkında Avrupa Parlamentosu ve Avrupa Konseyi’nin tüzük teklifi (”Veri Yasası Teklifi”) lehine oy kullandı ve teklif hakkında bir rapor (“Rapor”) yayımladı. Veri Yasası Teklifi, rekabetçi veri pazarını teşvik etmeyi, veriye dayalı inovasyon için fırsatlar açmayı ve verileri daha erişilebilir hale getirmeyi amaçlar. Veri Yasası Teklifi kapsamında, B2B ve B2C veri paylaşımına ilişkin düzenlemeler ve yükümlülükler, Nesnelerin İnterneti ile ilgili verilere erişim, devletin verilere erişimi, kişisel olmayan verilerin aktarımı ve bu verilere erişim kısıtlamaları, akıllı sözleşme gereklilikleri ve küçük ve orta ölçekli işletmelerin konumuna ilişkin olarak veri sahipleri ve veri alıcıları arasındaki sözleşmeye dayalı ilişkiler yer alır. Rapor’da ise, Avrupa’nın yüksek miktarda endüstriyel veriye sahip olduğuna ancak bu endüstriyel verilerin potansiyelinin henüz yeterince kullanılmadığına dikkat çekilir. Rapor’da ayrıca endüstriyel veriye kolay erişim sağlayan, veri açısından esnek bir ekosistem yaratabilirse Veri Yasası Teklifi’nin ekonomik büyümenin anahtarı olabileceği ifade edilir.

Rapora buradan ulaşabilirsiniz.

Konu ile ilgili Hukuk Postası makalemize buradan ulaşabilirsiniz.

EDPB, 24 Şubat 2023 Tarihinde Çeşitli Rehberleri Kabul Etti:

Madde 3 ile GDPR Bölüm V uyarınca uluslararası veri aktarımına ilişkin hükümlerin uygulanması arasındaki etkileşime ilişkin Rehber (05/2021)

Yurt dışına veri aktarımına ilişkin olarak, 05/2021 sayılı Rehber, bir işleme faaliyetinin kişisel verilerin üçüncü bir ülkeye veya uluslararası bir kuruluşa aktarımı olarak nitelendirilmesine ilişkin kriterleri, veri aktarımının sonuçlarını ve sağlanacak güvenceleri belirler.

Sosyal medya platform ara yüzlerinde aldatıcı tasarım modellerine ilişkin Rehber: Nasıl fark edilir ve bunlardan nasıl kaçınılır? (03/2022)

Aldatıcı tasarım modelleri, “sosyal medya platformlarında uygulanan ve kullanıcıları, kişisel verilerinin işlenmesine ilişkin olarak, genellikle kullanıcıların çıkarları aleyhine ve sosyal medya platformlarının çıkarları lehine olan bir karara yönelik olarak, arzu edilmeyen, irade dışı ve potansiyel olarak zararlı kararlar vermeleri için etkilemeye çalışan ara yüzler ve kullanıcı deneyimleri” olarak tanımlanır. 03/2022 sayılı Rehber, aldatıcı tasarım modellerine ilişkin örneklerin yanı sıra en iyi uygulama örneklerine de yer vermekte ve ayrıca aldatıcı tasarım modeli kategorilerine ilişkin bir kontrol listesi de içermektedir.

Veri transferleri için bir araç olarak sertifikasyon hakkında rehber (07/2022)

GDPR madde 46, bir veri sorumlusu veya veri işleyenin kişisel verileri üçüncü bir ülkeye veya uluslararası bir kuruluşa ancak uygun güvenceler sağlaması halinde aktarabileceğini ve bu bağlamda onaylı bir sertifikasyon mekanizmasının uygun bir güvence olarak kabul edileceğini düzenler. 07/2022 sayılı Rehber ise bir veri aktarım mekanizması olarak sertifikasyona açıklık getirir.

Rehberlere buradan ulaşabilirsiniz.

Fransız Veri Koruma Otoritesi’nin (“CNIL”) 2023 Yılının Soruşturma Önceliklerine İlişkin Duyurusu

CNIL, 15 Mart 2023 tarihinde, 2023 yılında yürüteceği soruşturmalarla ilgili olarak dört temel önceliğine ilişkin bir duyuru yaptı. Bu öncelikler, kamu sektörü tarafından kullanılan akıllı kameralar, bireysel kredilerde geri ödeme dosyasının kullanımı, sağlık dosyalarının yönetimi ve mobil uygulamalar olarak belirlendi.

CNIL’in duyurusuna buradan ulaşabilirsiniz.

Kaliforniya Gizlilik Hakları Yasası: Tüketici Gizliliğinin Korunmasına Yönelik İşletme Yükümlülüklerin Genişletilmesi

Kasım 2020’de kabul edilen ve Kaliforniya Tüketici Gizliliği Yasası’nı (“CCPA”) değiştiren ve tüketicilerin korunmasına yönelik ek gizlilik hükümleri getiren Kaliforniya Gizlilik Hakları Yasası (“CPRA”), 1 Ocak 2023’te yürürlüğe girdi. CPRA, CCPA hükümlerinin kapsamını genişletirken Kaliforniyalıların kişisel verilerini işleyen işletmelere yönelik yeni yükümlülükler getirmektedir. 

CPRA düzenlemelerine buradan ulaşabilirsiniz.

Bülteni pdf formatında indirmek için tıklayınız.