Kişisel Verilerin Korunması Bülteni - 2023 2. Çeyrek

Türkiye’den Güncel Gelişmeler

Sosyal Ağ Sağlayıcı Hakkında Usul ve Esaslar

Bilgi Teknolojileri ve İletişim Kurumu tarafından hazırlanan ve sosyal ağ sağlayıcıların temsilci belirleme, başvuruların cevaplandırılması, verilerin barındırılması gibi yükümlülükleri ile bu yükümlülüklerin uygulanmasına dair usul ve esasları belirleyen Sosyal Ağ Sağlayıcı Hakkında Usul ve Esaslar’a ilişkin 28/03/2023 tarihli ve 2023/DK-İD/119 sayılı karar, 01.04.2023 tarihinde Resmî Gazete’de yayımlandı ve yayımı tarihinde yürürlüğe girdi.

Karar metnine buradan ulaşabilirsiniz.

Kişisel Verilerin Korunması Kurulu Karar Özetleri

Kişisel Verilerin Korunması Kurulu (“Kurul”) 24.04.2023 tarihinde 40 yeni karar özeti yayınladı. Öne çıkan karar özetlerini sizler için derledik.

Kişisel veri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi hakkında Kurul Kararı: 

Karara konu olayda, elektronik perakende zincirinin AVM’deki bir şubesi (veri sorumlusu) tarafından distribütör firmaya gönderilen kargoda yer alan ve ilgili kişinin kişisel verilerini içeren belgeler, kargo şirketinin hatalı teslimatı nedeniyle üçüncü bir şahsa teslim edilmiştir. Kurul, kargoyu doğru alıcıya teslim edilecek şekilde gönderen veri sorumlusunun bir ihlalinin söz konusu olmadığını değerlendirmiştir. Ayrıca kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını taşımadığı değerlendirilmiştir. Ancak Kurul, kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılmasına ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesine dikkat çekmiştir.  

Kararda ayrıca, kargo şirketinin hatalı kargo teslimi nedeniyle ilgili kişinin kişisel verilerinin üçüncü bir şahıs tarafından kanuni olmayan bir şekilde elde edilmesi halinde veri sorumlusunun KVKK (“Kişisel Verilerin Korunması Kanunu”) m. 12/5 uyarınca ilgili kişiye ve Kurul’a bildirimde bulunma yükümlülüğünün devam ettiği vurgulanmıştır.

Kurul kararı özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Kargo şirketleri aracılığıyla yapılan gönderilerde olabildiğince az ve/veya maskelenmiş kişisel veri içerecek belgeler paylaşılmalıdır.
• Kişisel verilerinin kanuni olmayan yollarla üçüncü bir kişi tarafından elde edildiği durumda, veri sorumlusunun KVKK m. 12/5 uyarınca veri sorumlusunun hem ilgiliye hem de Kurul’a bildirim yükümlülüğü söz konusudur.

Birden çok muhatabın kişisel verilerinin yer aldığı ihtarnamenin, bordrolama hizmeti sunan veri sorumlusu tarafından başka çalışanlara da gönderilmesi hakkında Kurul Kararı:

Karara konu olayda, birden çok işçinin kimlik ve iletişim verisine aynı ihtarnamede yer verilerek noter aracılığıyla söz konusu ihtarname tüm muhataplara gönderilmiştir. Böylece, sekiz ayrı işçinin kişisel verilerinin toplu olarak aynı ihtarnamede yer alması nedeniyle her birinin kişisel verileri birbirleriyle paylaşılmıştır. Kurul, söz konusu işçilerin kimlik ve iletişim verisinin ihtarnamede yer alması suretiyle noterlikle paylaşılmasını KVKK m.5/2’de yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında değerlendirmiştir.  

Buna karşılık, çalışanların kişisel verilerinin toplu bir şekilde aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken herhangi bir şekilde karartma veya muhataplara ayrı ayrı keşide etme gibi bir işlem yapılmaması herhangi bir veri işleme şartına dayanmamaktadır. Bu değerlendirmelerden hareketle Kurul, veri sorumlusu hakkında 100.000 TL idari para cezası uygulanmasına karar vermiştir.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Birden fazla alıcıya gönderilecek ihtarnameler ayrı ayrı gönderilmeli ya da birden çok muhatabın bilgisini içerir ihtarnameler gönderilirken karartma vb. tedbirler uygulanmalıdır.

Ameliyat sırasında çekilen fotoğrafların hastanede çalışan bir doktorun sosyal medya hesabında paylaşılması hakkında Kurul Kararı:

Karara konu olayda, özel bir hastanede gerçekleştirilen burun ameliyatı esnasında ilgili kişinin baygın olduğu sırada rızası olmaksızın fotoğrafları çekilerek ameliyatı gerçekleştiren doktorun sosyal medya hesabında paylaşılmıştır. Söz konusu fotoğraflar yaklaşık iki yıl boyunca hastanenin sosyal medya hesabında da paylaşılarak reklam ve pazarlama faaliyeti gerçekleştirildiği ileri sürülmüştür.

Kurul, kişinin gözleri kapatılmış olsa da yüzün kaş, bıyık gibi ilgili kişiyi tanımlayabilecek diğer bölümlerinin anonimleştirilmemesi sebebiyle söz konusu görüntünün ilgili kişinin kimliğini belirlenebilir kılabilme özelliğine sahip olduğunu değerlendirmiş ve fotoğrafları kişisel veri olarak nitelendirmiştir.

İlgili kişi, görüntülerinin kullanılması için tedaviyi gerçekleştiren hastaneye açık rıza vermiştir; ancak, görseller hastanede çalışan bir doktor tarafından paylaşılmıştır. Kurul, hastanenin kişisel verilere hukuka aykırı olarak erişilmesini önlemek için yeterli düzeyde teknik ve idari tedbir almadığını değerlendirmiştir. Kurul ayrıca rıza olmaksızın paylaşım yapması nedeniyle doktor hakkında Türk Ceza Kanunu’nun ilgili hükümlerinin uygulanabileceğine dikkat çekmiştir.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Gerçek kişilere ilişkin görsel veri paylaşılırken ilgili kişiyi tanımlayabilecek bölümlerin anonimleştirilmesi gerekir.
• Kişiler tarafından verilen rıza yalnızca ilgili veri sorumlusu açısından geçerlidir.

İş görüşmesi yapıldığı bilgisi ile görüşme içeriğinin potansiyel işveren tarafından çalışan adayının mevcut iş yeri ile paylaşılması hakkında Kurul Kararı:

Kararda, bir şirket bünyesinde çalışmaktayken başka bir şirketle iş görüşmesi gerçekleştiren kişinin çalışmakta olduğu şirket hakkındaki beyanları, mevcut iş yeri ile paylaşılmıştır.

Kurul, kişinin özgeçmişinde yer alan bilgilerinin KVKK m. 5 uyarınca “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” nedenleriyle veri sorumlusu tarafından işlendiğini ifade etmiştir. Akabinde, çalışan adaylarının uygunluğunu tespit etmek amacıyla, işin gerektirdiği menfaatler ve iş sözleşmesinin kuruluşu öncesinde işverenin yönetim hakkı kapsamında, iş görüşmesinin amacı ile bağlantılı, sınırlı ve ölçülü şekilde işverenlerin veri işleme hakkının bulunduğu belirtilmiştir.

Buna karşılık, çalışan adayının iş görüşmesi yaptığı bilgisi ile görüşme sırasında mevcut iş yeri hakkında ilettiği beyanların ilgili kişinin çalıştığı şirkete hukuka aykırı olarak aktarıldığı değerlendirilmiştir.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Potansiyel işveren tarafından iş görüşmeleri sırasında elde edilen çalışan adayına ait kişisel veriler ile görüşme detayları mevcut işverene KVKK’da öngörülen aktarım şartlarının mevcut olmaması halinde aktarılamaz.

Yasal bahis platformu tarafından bir üyesine ait kişisel verilerin üçüncü bir şahsa ait e-posta adresine gönderilmesine ilişkin Kurul Kararı:

Yasal bahis platformu tarafından platforma üye dahi olmayan bir kişiye ait e-posta adresine başka bir üyesinin adı-soyadı ve üyelik numarasının da yer aldığı üyeliğe kabule ilişkin iki e-posta gönderilmiştir. Kurul, veri sorumlusunun kişisel veri işleme faaliyeti (e-posta gönderimi) sırasında herhangi bir kontrol mekanizması oluşturmamış olmasını KVKK’da öngörülen “hukuka ve dürüstlük kurallarına uygun olma”, “doğru ve gerektiğinde güncel olma” ve “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” genel ilkelerine aykırı bulmuştur. Hatta veri sorumlusu bahis platformunun elektronik sistemlerini bu temel ilkelere uygun şekilde tasarlamamış/tasarlatmamış olduğunu değerlendirmiştir. Bahis platformunun “ana iletişim kanalı olarak cep numarasının kullanıldığı, bu nedenle e-posta doğrulamanın üyelik başvurusu sırasında yapılmadığı” şeklindeki savunmasına karşılık ise veri minimizasyonu ilkesine dikkat çekmiş ve ana iletişim kanalı olarak kullanılmayan e-posta verisinin hiç elde edilmemesi gerektiğine işaret etmiştir. 

Kurul hem üye olmayan üçüncü kişiye ait e-posta adresinin hem de üyeliğe başvuran kişinin ad-soyad ve üyelik numarası bilgilerinin kişisel veri işleme şartlarından herhangi birine dayanılmaksızın işlendiğini tespit ederek veri işlemede doğru ve gerektiğinde güncel olma ilkesine uyma konusunda veri sorumlusunun aktif adımlar atmadığını ifade etmiştir. Kurul, veri sorumlusu platforma 250.000 Türk Lirası idari para cezası uygulamıştır. 

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Veri sorumluları, üyelik sırasında bildirilen iletişim bilgisini kullanarak ilgili kişilere ulaşmadan önce bilginin doğru ve güncel olduğunu teyit etmek üzere uygun mekanizmalar oluşturmalıdır.
• Eğer iletişim kanallarından sadece bir tanesi hedeflenen amaç için yeterliyse, amacı aşacak şekilde ekstra kişisel veri elde edilmemelidir. 

Bir bankanın müşteri hizmetlerinin aydınlatma yükümlülüğünü yerine getirmeden ve rızasını almadan ilgili kişiyi telefonla araması hakkında Kurul Kararı:

Kurum’a gelen şikâyette, ilgili kişinin başka bir bankada bulunan hesabından veri sorumlusu banka nezdinde üçüncü tarafa ait bir hesaba para gönderimini takiben, aydınlatma yapılmadan ve açık rızası alınmaksızın, tanıtım amacıyla veri sorumlusu bankanın telefon araması yaptığı bildirilmiştir. Şikayetçi bu konuda veri sorumlusu bankaya başvurduğunu fakat bankanın cevap vermediğini belirtmiştir. Veri sorumlusu banka ise, başvuru dilekçesinde yer alan posta ve e-posta adresinin banka kayıtlarında yer alan adreslerden farklı olduğunu, banka kayıtlarında bulunan resmi imza örnekleri ile başvuru dilekçesinde yer alan imzaların da uyuşmadığını, banka cevabının müşterinin sistemde kayıtlı olan adresine adi posta gönderildiğini ve bu nedenle cevabın müşteriye ulaşıp ulaşmadığının teyit edilemediğini bildirmiştir.

Kurul, KVKK m. 11 kapsamında cevapların “adi posta” ile gönderilmesinin kişisel bilgi içeren belgelerin üçüncü kişilerce ele geçirilme olasılığı sebebiyle güvenlik açığı yarattığını değerlendirilmiştir.

Ayrıca Kurul, ilgili kişinin KVKK’nın yürürlük tarihi öncesi olan 2015 yılından beri bankanın müşterisi olduğunu ve hatta iletişim izninin de olduğunu tespit ederek, KVKK’nın yayımından önce mevcut hukuk kurallarına uygun olarak alınmış rızaların bir yıl içinde ilgili kişilerce aksi bir irade beyanında bulunulmadığı sürece geçerli olduğunu ifade etmiştir.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Veri sahibi tarafından yapılan başvurulara adi posta yoluyla cevap verilmemelidir.
• Kişisel Verilerin Korunması Kanunu’nun yürürlük tarihinden önce alınan ve yürürlük tarihinden itibaren bir yıl içinde geri alınmayan açık rızalar geçerlidir.

Kişisel verilerin iş akdinin feshinden sonra işveren tarafından işlenmeye devam edilmesi hakkında Kurul Kararı:

Karara konu olayda, mobilya ve dekorasyon sektöründe çalışan bir iç mimarın sosyal medya üzerinden yapılan canlı yayınlardaki görüntüsü iş akdinin sona ermesinden sonra dahi TV ekranlarında, internet sitesinde ve tanıtıma yönelik basılı materyallerde reklam ve pazarlama amacıyla kullanılmıştır. Kurul, ilgili kişinin yer aldığı görüntülerin veri sorumlusu arşivlerinde bulunmasını hukuka uygun bulmuştur. Ancak iş akdi sona erdikten sonra eski çalışanın görüntülerinin reklam ve pazarlama maksatlı faaliyetler kapsamında kullanılmasına ilişkin KVKK kapsamında geçerli bir işleme şartının mevcut olmayacağı ifade edilmiştir. Sonuç olarak, 250.000 TL idarî para cezası uygulanmasına karar verilmiştir.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• İş ilişkisi sona eren çalışanların görüntüleri internet sitesinde ve/veya sosyal medya hesaplarında, tanıtıcı basılı materyallerde kullanılmamalıdır. 

Resmî Gazete’nin internet sayfasından erişilebilen bir ilana ilişkin olarak arama motorunda adı ve soyadı ile yapılan aramada ulaşılan sonuçların indeksten çıkarılması talebi hakkında Kurul Kararı:

Somut olayda, ilgili kişinin ismi ile veri sorumlusu arama motoru üzerinden arama yapıldığında https://www.resmigazete.gov.tr/arsiv/*****.pdf sayfasına ulaşıldığı belirtilerek arama sonucunda çıkan sayfanın “unutulma hakkı” kapsamında kaldırılması talep edilmiştir. Kurul şikâyete ilişkin yaptığı değerlendirmede, Resmî Gazete’de yer alan ilanın amacının kişiye tebliğin sağlanması olduğuna dikkat çekerek kamu yararı olmadığı sonucuna varmıştır. Ayrıca anılan ilanın üzerinden 20 yıldan fazla süre geçmiş ve bu sebeple içerik güncelliğini yitirmiştir. İçerikte yer alan bilgi, ilgili kişinin üzerine atılı suçtan beraat ettiğinin teyidi olsa da ilgili kişi hakkında önyargıya sebep olabilecek niteliktedir. İlgili içerik kendisi tarafından yayınlanmamıştır ve gazetecilik faaliyeti kapsamında da değerlendirilememiştir.

Kurul değerlendirmesi sırasında, İspanya Veri Koruma Otoritesi’nin Costeja Gonzales/La Vanguardia kararına atıf yapmaktadır. İlgili kararda ulusal mevzuat çerçevesinde ilan verilmesinin zorunlu olduğu ve birçok kişinin bu bilgiye ulaşmasında veri sorumlusunun menfaatinin bulunduğu belirtilir. Kararda gazete hakkındaki şikâyetin reddedilmesine ve Google tarafından ilgili linklerin kaldırılmasına karar verilmiştir. Dosya AB Adalet Divanı’na (“ABAD”) taşınmıştır:

• Arama motorunda yapılan aramada çıkan sonuçlar “geçersiz, eksik, tamamen ilgisiz veya sonradan ilgisiz hale gelmiş” ise arama motorları tarafından internet ortamına yüklenme amacını aşan söz konusu kişisel verilerin ve buna ilişkin sonuç listesinde yer alan bilgilerin silinmesi gerekir;
• Kişinin özel hayatının gizliliği hakkı, arama motorunun ekonomik çıkarı ile kamunun bilgiye erişim hakkının üzerindedir. Bu kural yalnızca kamunun bilgiyi öğrenmesinde üstün yararı varsa uygulanmaz.

Kurul, 2016/679 sayılı Genel Veri Koruma Tüzüğü (“GDPR”) m. 17’e de değinmiştir. Buna göre, unutulma hakkı silme yükümlülüğü kapsamında değerlendirilmektedir.

Kurul karar özetine buradan ulaşabilirsiniz.

Veri sorumlusu spor salonu işletmecisinin kan grubu verisini ilgili kişinin açık rızasını almaksızın işlemesi hakkında Kurul Kararı:

Karara konu olayda, bir spor salonunun işletmecisi olan veri sorumlusunun üyelerinin sağlık verilerini (detaylı yağ, kilo ve performans ölçümü, kan grubu, yıllık hastane ziyaret sayısı, içilen sigara bilgisi vb.), biyometrik verilerini (salona girişte alınan parmak izi) ve kamera görüntülerini işlediği ancak bu verilerle ilgili olarak aydınlatma yapmadığı ve rıza elde etmediği iddia edilir. Kurul’un değerlendirmesinde dikkat çeken husus, aydınlatma ve açık rıza metinlerinin üyelere sunulan sözleşme içeriğinde değil; ayrıca düzenlenmesi ve açık rızanın her bir veri işleme faaliyeti açısından onay verme ve vermeme seçeneklerini de içerecek şekilde sunulması gerektiğinin belirtilmesidir.

Söz konusu kararda öne çıkan bir diğer değerlendirme, ileti gönderilmesine ilişkindir. Kurul, sözleşme içeriğinde yer alan “SMS pazarlama faaliyetlerini istiyorum” ifadesini açık rıza olarak kabul etmemiş, bu ifadenin yalnızca pazarlama faaliyetleri kapsamında ilgili kişinin kişisel verisinin işlenmesiyle sınırlı bir beyandan ibaret olduğunu ifade etmiştir. Ayrıca, kişilerin tercihlerinin metne yansıtılmasını teminen “SMS pazarlama faaliyetlerini istemiyorum” seçeneğinin de sözleşmede sunulması gerektiği Kurul tarafından değerlendirilmiştir.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Elektronik ticari ileti için açık rıza elde edilirken kişilere “rıza veriyorum” ve “rıza vermiyorum” şeklinde iki ayrı bir seçenek sunulmalıdır.
• Sözleşmeler, aydınlatma metinleri ve rıza beyanları iç içe geçmemeli; aydınlatma ve açık rıza süreçleri sözleşme içeriğinden ayrılmalıdır. 

Veri sorumlusunun çalışanlarına tahsis ettiği kurumsal e-posta adresindeki içerikleri izleme, erişme ve depolama suretiyle kişisel verileri işlemesi hakkında Kurul Kararı:

Karara konu şikâyette, ilgili kişinin iş akdinin veri sorumlusu tarafından feshedildiği belirtilmektedir. Fesih sebebi, şirket içi verilerin kurumsal e-posta adresi üzerinden kişisel e-posta adresine gönderilmesi ve şirketin bir başka çalışanı ile yapılan telefon görüşmesinin gizlice kaydedilerek kişisel e-posta adresi üzerinden avukatının e-posta adresine gönderilmesidir. Kurul, e-posta denetimi aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetini “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartları kapsamında değerlendirmiştir.

İletişimin denetlenmesi hususunda iletişim akışı ve iletişim içeriklerinin denetlenmesi arasında bir ayrım yapılması gerekir. İletişim içeriklerinin denetlenmesi daha katı gerekçelere bağlıdır. E-posta kullanımının denetiminde, işverence güdülen amacı yerine getirecek ölçüde, işveren menfaatine ters düşecek bir güvenlik, sadakat ve kullanım ihlali var mı tespit edilmeli ve sonrasında iletişimin içeriğine ilişkin bir denetim yapılmalıdır.

İş Kanunu’nda derhal fesih hakkını kullanmak üzere öngörülen 6 gün ve 1 yıllık süreler fesih hakkının kullanılmasına ilişkindir. Kişisel verilerin saklanması noktasında önem arz etmez.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• İşverenin menfaatine ters düşecek şekilde bir güvenlik, sadakat ve kullanım ihlali tespit edilmeden çalışanların iletişim içeriği denetlenmemelidir.
• İletişimin denetlenmesi sırasında mutlaka aydınlatma yükümlülüğü yerine getirilmelidir. 

Dünyadan Güncel Gelişmeler

Amerika Birleşik Devletleri (“ABD”) ve Birleşik Krallık, Birleşik Krallık/ABD “veri köprüsü ” için prensipte anlaştı, duyuru 08.06.2023 tarihinde Birleşik Krallık tarafından yapıldı

Taraflarca prensipte anlaşılan taahhüdün kişisel veri aktarımlarını kolaylaştıracak bir veri köprüsü oluşturması ve AB-ABD Veri Gizliliği Çerçevesine bir destek mekanizması sağlaması beklenmektedir. Diğer taraftan Avrupa Komisyonu da AB-ABD Veri Gizliliği Çerçevesi ile ilgili olarak GDPR kapsamında bir uygunluk kararı üzerinde çalışmaktadır. Birleşik Krallık tarafından yapılan duyuru ise, veri aktarımlarına ilişkin olarak Birleşik Krallık ve AB’nin yaklaşımlarını uyumlu hale getirir.

Duyuruya buradan ulaşabilirsiniz. 

Kanada Mahremiyet Komisyonerliği Ofisi (“OPC”), gizlilik düzenlemelerine tabi işverenler için yeni bir rehber yayımladı

OPC tarafından yayımlanan rehber başta Gizlilik Kanunu (Privacy Act) olmak üzere gizlilik düzenlemelerine tabi işverenlere, farkındalık sağlamak ve gizlilik yükümlülüklerine ilişkin destek olmak üzere hazırlanmıştır. Çalışan mahremiyetine saygı, çalışan ve işverenin yarışan menfaatleri ve çalışanların izlenmesi ve iletişimlerinin denetlenmesi gibi başlıklara ve uygulamaya ilişkin önerilere yer verilmektedir.

Rehbere buradan ulaşabilirsiniz. 

Singapur, 13.04.2023 tarihinde Küresel Sınır Ötesi Gizlilik Kuralları (“CBPR”) Forumu'nun politika belirleme organı Küresel Forum Meclisi’nin başkan yardımcılığına atandı

Kurucu ortaklardan biri olan Singapur, CBPR Forumu’nun politikalardan sorumlu organı Küresel Forum Meclisi’nin başkan yardımcılığına atandı. Forum, halihazırda serbest veri aktarımlarını ve veri korumasını kolaylaştıran APEC Sınır Ötesi Gizlilik Kuralları ve Veri İşleyen Sistemleri için Gizlilik Tanıması ile ilgili uluslararası bir sertifikasyon sistemi sunar. Forum, katılmak isteyen diğer ülkeleri de kabul etmektedir.

Ayrıntılı bilgiye buradan ulaşabilirsiniz.

Birleşik Krallık 17.04.2023 tarihinde CBPR Forumu’na başvurdu

Birleşik Krallık, Küresel Sınır Ötesi Kurallar Gizlilik Forumu’na üye olarak katılmak için başvuruda bulundu ve 2022 yılında kurulan foruma başvuran ilk ülke oldu.

Ayrıntılı bilgiye buradan ulaşabilirsiniz.

ChatGPT hizmetleri bir sonraki duyuruya kadar İtalya’da engellendi

İtalya Veri Koruma Otoritesi, İtalyan kullanıcıların verilerinin OpenAI tarafından işlenmesine 31.03.2023 tarihinde geçici olarak sınırlama getirildiğini duyurdu. Otoritenin bu sınırlaması, OpenAI’nın veri işleme faaliyetleri hakkında veri sahiplerini yeterince bilgilendirmediği gerekçesiyle ChatGPT hizmetlerinin engellenmesiyle sonuçlandı. Bu kararla birlikte İtalya, bu hizmeti engelleyen ilk ülke ve otorite oldu.

Duyuruya buradan ulaşabilirsiniz.

ABAD derslerin canlı olarak yayınlanmasının GDPR kapsamına girdiğine karar verdi

30.03.2023 tarihinde ABAD, Almanya’nın Wiesbaden İdare Mahkemesi’nin (“Mahkeme”) talebine cevaben bir ön karar açıkladı. Talep, Covid-19 sırasında ders veren öğretmenlerin açık rızaları olmaksızın öğrencilerin katılamadığı dersler için canlı yayın hizmetinin yasaya uygunluğunun değerlendirmesi talebiyle ilgilidir.

Covid-19 salgını sırasında, Hessen Eyaleti Eğitim ve Kültür Bakanı, video konferans ile yayınlanan dersler için öğrenciler tarafından veya daha küçük öğrenciler için ebeveynler tarafından rıza verilmesi gerektiğine karar vermiş, ancak ilgili öğretmenlerin rızası ele alınmamıştır. Öğretmenlerin rızası alınmadan derslerin video konferans yoluyla canlı olarak yayınlanmasına itiraz etmek üzere Mahkeme nezdinde bir dava açılmıştır.

ABAD, üye devletlerin GDPR m. 88 kapsamında belirli kuralları kabul etme yetkisinin takdire bağlı olduğunu ve bir üye devletin çalışanların hak ve özgürlüklerini korumak amacıyla bu tür kuralları kabul edebileceğini değerlendirir. ABAD ayrıca, GDPR m. 88/2 kapsamındaki gereklilikleri karşılamayan bir ulusal kuralın uygulanmaya devam edip edemeyeceği konusundaki endişelere de değinir ve Divanın kişisel verilerin işlenmesine ilişkin ulusal hükümler ile GDPR m. 88 kapsamındaki koşulların uyumsuz olduğunu tespit etmesi halinde, bu hükümlerin GDPR m. 6/3 uyarınca yasal bir dayanak oluşturup oluşturmadığını doğrulaması gerektiğini belirtir.

Ayrıntılı bilgiye buradan ulaşabilirsiniz. 

Yapılması Gerekenler:

• İşverenler istihdam ilişkisindeki “klasik” veri işleme süreçleri söz konusu olduğunda, GDPR kurallarını uygulamalı ve dikkate almalıdır.  

Avrupa Veri Koruma Kurulu (“EDPB”) veri sahibi erişim kılavuzunu güncelledi

17.04.2023 tarihinde, AB genelinde veri koruma hukukunun tutarlı bir şekilde uygulanmasını sağlamakla görevli EDPB, veri sahibi erişim talebi (DSAR) kılavuzunun son halini kabul ettiğini duyurdu. Güncellenen kılavuz, bir veri sorumlusunun DSAR uyarınca sorumluluklarına; veri sorumlularının bir DSAR’ı ne zaman reddedebileceğine ve DSAR ile veri saklama süreleri arasındaki etkileşime ilişkin açıklamalar içerir.

İlgili duyuruya buradan ulaşabilirsiniz.

EDPB, GDPR kapsamında kişisel veri ihlali bildirimlerine ilişkin 9/2022 sayılı Kılavuzu yayımladı

Anılan kılavuz 28.03.2023 tarihinde yayımlanmış olup, GDPR kapsamındaki kişisel veri ihlal bildirimine ilişkin kılavuzun güncellenmesini amaçlar. Bundan böyle GDPR kapsamındaki ihlal bildirimleri için 9/2022 sayılı kılavuz referans alınacaktır. Kılavuzda, AB dışındaki kuruluşlarda meydana gelen veri ihlalleri konusunda açıklığa ihtiyaç duyulduğu vurgulanmakta ve bu konuda da belirli iyileştirmeler yapılmaktadır.

Kılavuza buradan ulaşabilirsiniz.

EDPB, GDPR kapsamında uygulanacak idari para cezalarının uygulanmasına ilişkin 4/2022 sayılı Kılavuzu yayımladı 

Anılan kılavuz, GDPR kapsamında uygulanan idari para cezalarının hesaplanmasında yetkili denetim makamları tarafından kullanılacak yöntemin yeknesaklaştırılması amacıyla 24.05.2023 tarihinde yayımlanmıştır. Bu kılavuz, idari para cezalarının uygulanması ve belirlenmesine ilişkin önceki kılavuzlar için tamamlayıcı bir belge olarak kabul edilmiştir. Kılavuza buradan ulaşabilirsiniz. Diğer taraftan, 07.07.2023 tarihinde ise, nihai belge kabul edilmiştir.

İlgili duyuruya buradan ulaşabilirsiniz.

26.04.2023 tarihinde AB Genel Mahkemesi (“EGC”), T-557/20 sayılı Single Resolution Board (SRB) v European Data Protection Supervisor (EDPS) davasında, takma ad ve anonim veriler arasındaki eşiğe ilişkin kararını yayınladı

26.04.2023 tarihinde EGC, SRB’nin şeffaflık yükümlülüğünü ihlal ettiğini tespit eden 24.11.2020 tarihli ve takma adla dahi olsa yapılan paylaşımları kişisel veri paylaşımı olarak nitelendiren EDPS kararını bozmuştur. EGC, söz konusu kararında takma isimlerin (pseudonymised data), veriyi alan tarafın ilgili kişilerin kimliklerini tespit imkânına sahip olmaması halinde kişisel veri olmadığını değerlendirmiştir. Ayrıca görüş ve düşüncelerin tek başına kişisel veri olmadığı hususu açıklığa kavuşturulmuş ve her bir durum için ayrı değerlendirme yapılması gerektiği ifade edilmiştir. Buna göre, görüş ve düşüncelerin kişisel veri teşkil edip etmediğinin belirlenmesi için “içerik, amaç veya etki itibariyla bir görüşün belirli bir kişiyle bağlantılı olup olmadığının” incelenmesi gerektiği sonucuna varmıştır. İfşa eden tarafın bireyleri yeniden tanımlama imkanına sahip olması, verinin otomatik olarak kişisel veri olarak kabul edileceği anlamına gelmemektedir.

Karara buradan ulaşabilirsiniz.

ABAD, ilgili kişinin GDPR m. 15 kapsamında kişisel verilerinin bir kopyasını alma hakkına ilişkin önemli bir karar verdi

ABAD, 04.05.2023 tarihli kararı (Case C-487/21 F.F. v Österreichische Datenschutzbehörde) ile GDPR m. 15’e (Veri sahibinin erişim hakkı) ilişkin önemli açıklamalarda bulunmaktadır. Mahkeme, erişim hakkının veri sahibine bir veri sorumlusu tarafından işlenen kişisel verilerin aslına uygun kopyasını elde etme hakkı tanıdığını belirtmektedir. Burada sözü geçen “kopya” ifadesinin genellikle gerçek bir belgenin kopyası ile ilgili olmadığı, sadece işlenen kişisel verilerle ilgili olduğu vurgulanmaktadır. Bazı durumlarda bu, veri sahibinin GDPR kapsamındaki haklarını etkin bir şekilde kullanabilmesi için gerekli olması halinde, kişisel verilerini içeren belge özetlerinden, hatta tüm belgelerden veya veri tabanlarından kopya alma hakkını içerebilir.

Kararla ilgili ayrıntılı bilgi için bakınız. 

ABAD GDPR ihlalinin manevi tazminat için yeterli olmadığına karar verdi

Mahkeme, 04.05.2023 tarihli kararıyla (Case C-300/21 UI v Österreichische Post AG), m. 82 (Tazminat hakkı ve sorumluluk) kapsamında maddi olmayan zararları ele alır. Karara konu olayda, kişisel verilerinin siyasi reklam amacıyla işlenmesi sonucunda rencide olduğunu ileri süren veri sahibi manevi zararının tazminini talep etmiştir. Mahkeme, tazminat için üç koşulun yerine getirilmesi gerektiğini ifade eder: (i) GDPR ihlali; (ii) bu ihlalden kaynaklanan maddi veya manevi zarar ve (iii) ihlal ile zarar arasında nedensel bir bağlantı. Ayrıca, tazminat hakkına ilişkin herhangi bir ciddiyet eşiği bulunmadığı ve her üye devletin GDPR kapsamındaki hakların korunmasına ilişkin kurallarını belirlemesi gerektiği belirtilir.

Karar metnine buradan ulaşabilirsiniz.

Detaylı bilgi için Hukuk Postası makalemize bakınız.

İrlanda Veri Koruma Otoritesi (İrlanda Otoritesi) Meta Platforms Ireland Limited (Meta Ireland) hakkındaki 12.05.2023 tarihli kararını 22.05.2023 tarihinde duyurdu

Söz konusu kararla Meta Ireland hakkında 1.200.000.000 Euro idari para cezası uygulanmasına karar verilerek GDPR tarihinde rekor bir cezaya daha imza atıldı. ABAD’ın “Veri Koruma Komisyonu v Facebook Ireland Limited v Maximillian Schrems” kararını takiben İrlanda Otoritesi, Meta Ireland tarafından Avrupa Birliği ve Avrupa Ekonomik Alanı’ndan ABD’ye yapılan aktarımları GDPR m. 46/1’e aykırı buldu. Karar’a konu veri aktarımları 2021 yılında Avrupa Komisyonu tarafından kabul edilen Standart Sözleşme Maddeleri (SCCs) temelinde ve ek tamamlayıcı tedbirlere dayanılarak gerçekleştirilse de temel hak ve özgürlüklere ilişkin yeterli koruma sağlanmadığı değerlendirildi.

Karara ilişkin duyurunun İngilizce tam metnine buradan, karar hakkındaki müvekkil duyurumuza ise buradan ulaşabilirsiniz.

İrlanda Otoritesi işverenler için işyerinde veri korumasına ilişkin bir rehber yayınladı.

Söz konusu rehber, veri sorumlusu işverenlerin eski, mevcut ve gelecekteki çalışanlarına yönelik veri işleme yükümlülükleri ile görevlerine ilişkin açıklamalar sağlamak amacıyla hazırlanmıştır. Hangi verilerin kişisel veri olarak kabul edileceği, veri işleme faaliyetine hakim temel ilkeler, hukuki dayanaklar, CCTV, iletişim ve bilgisayarların denetimi, araç takip sistemleri gibi son derece hassas işveren uygulamaları ve işçilerin hakları konusunda detaylı açıklamalar içeren rehberin, işçi-işveren ilişkisinde önemli bir yol gösterici olacağı aşikardır.

İrlanda Otoritesi’nin anılan rehberine buradan ulaşabilirsiniz.

ABAD, veri sorumlusu bankaların bilgi sağlama yükümlülüğüne ilişkin önemli bir karar verdi

22.06.2023 tarihinde ABAD, bankaların ilgili kişilerin verilerine ne zaman ve neden erişildiği konusunda talep üzerine bilgi vermekten muaf olmadığını değerlendiren bir karar yayınladı. Diğer yandan, bankaların verilere erişen kişilerin isimlerini vermek zorunda olmadığını değerlendirdi. ABAD, GDPR kapsamındaki bilgiye erişim hakkının verilere neden ve ne zaman erişildiğine ilişkin bilgi edinme hakkı sağladığını ifade ederken, bu verilere kimin eriştiğini bilme hakkını (söz konusu bilgiler veri sahibinin kendisine verilen hakları etkin bir şekilde kullanmasını sağlamak için gerekli olmadıkça) vermediğini değerlendirdi.

Anılan karara buradan ulaşabilirsiniz.

Bülteni pdf formatında indirmek için tıklayınız.