Kişisel Verilerin Korunması Bülteni - 2023 4. Çeyrek

Türkiye’den Güncel Gelişmeler

Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine ilişkin Kamuoyu Duyurusu Yayınlandı

Kurum tarafından 13 Kasım 2023 tarihinde Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu (“Duyuru”) yayınlandı. Buna göre, (i) kasa işlemleri esnasında gönderilen SMS’in amacı ve SMS ile iletilen kodun verilmesi halinde doğacak sonuçlar hakkında mağaza yetkililerince bilgilendirme yapılması ve bilgilendirme kanallarının alıcılara SMS ile de sunulması; (ii) aydınlatma yükümlülüğü ve açık rıza alınması adımlarının birbirinden ayrılması; (iii) kasa işlemleri sırasında açık rıza gerektiren birbirinden farklı faaliyetler bakımından ayrı ayrı açık rıza alınması; (iv) ticari elektronik ileti gönderimi amacıyla kişisel veri işlenmesinin, alışverişin tamamlanmasının bir şartı olarak sunulmaması ve (v) ticari elektronik ileti gönderimi için açık rızanın SMS doğrulama kodu ile alındığı durumda, KVKK’da aranan şartları taşıması gerekir.

Kurum tarafından yayınlanan duyuruya buradan ve bu konudaki duyurumuza ise buradan ulaşabilirsiniz.

Genetik Verilerin İşlenmesine ilişkin Rehber Yayınlandı

Kişisel Verileri Koruma Kurumu (“Kurum”), 13 Ekim 2023 tarihinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi (“Rehber”) yayımladı. Rehber ile 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (“Kanun” veya “KVKK”) uyarınca özel nitelikli kişisel veri olarak nitelendirilen ve özel korumaya tabi tutulan fakat kapsamlı şekilde tanımlanmayan “genetik veri” kavramı ele alınır. Rehber; genetik veri tanımını verdikten sonra, genetik veri ilkeleri ve veri güvenliği başlıkları altında veri sorumlularının yükümlülüklerine değinir ve alınabilecek idari ve teknik tedbirlere ilişkin öneriler getirir.

Rehber’e buradan ve Rehber’e ilişkin Exlibris makalemize buradan ulaşabilirsiniz.

Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Yayınlandı

Kurum 22 Aralık 2023 tarihinde Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler (“Mobil Uygulama Rehberi”) yayınlandı. Mobil uygulamalarda mahremiyetin korunmasına yönelik mevcut ve potansiyel riskleri örnekseme yoluyla ele alan Mobil Uygulama Rehberi ile akıllı telefon ve tabletlerde kullanılan mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri bakımından ilgili kişi ve veri sorumlularına yönelik genel nitelikli tavsiyelerde bulunulmuştur.

Mobil Uygulama Rehberi’ne buradan ulaşabilirsiniz.

2024 Yılı Cumhurbaşkanlığı Yıllık Programı Yayınlandı

2024 Yılı Cumhurbaşkanlığı Yıllık Programı, 25 Ekim 2023 tarih ve 32350 (Mükerrer) sayılı Resmî Gazete’de yayımlandı. Bu programda kişisel verilerin korunmasına ilişkin; Avrupa Birliği (“AB”) uyum sürecine yönelik çalışmaların tamamlanması, Avrupa Komisyonu nezdindeki çalışmalar kapsamında iş ve yatırım ortamının dijital dönüşümünde uluslararası standartlar dikkate alınarak kişisel verilerin korunması kapsamında ulusal standartların belirlenmesi, Ulusal Veri Stratejisi ve Eylem Planı’nın hazırlanması ve uygulamaya konulması, sınır aşan veri transferlerine ilişkin temel yaklaşım ve kuralları ortaya koyan çalışmaların yapılması gibi bir takım tedbirler yer alır.

2024 Yılı Cumhurbaşkanlığı Yıllık Programı’na buradan ulaşabilirsiniz.

Kişisel Verileri Koruma Kurumu ile Rekabet Kurumu Arasında İş Birliği Protokolü İmzalandı

Kurum ile Rekabet Kurumu arasında 26 Ekim 2023 tarihinde “İş Birliği ve Bilgi Paylaşımı Protokolü” (“Protokol”) imzalandı. Otoriteler arasında gerçekleşen söz konusu iş birliği ile, teşebbüslerin büyük veri teknolojileri aracılığıyla hem kişisel verilerin gizliliğine hem de etkin rekabetin tesisine zarar verebilecek uygulamalarının önüne geçilmesi, aktif ve etkin rekabetin tesis edilmesi ve tüketicilerin kişisel verileri üzerindeki kontrolünün güçlendirilmesi hedeflenir.

Kurum’un duyurusuna buradan ve bu konudaki duyurumuza ise buradan ulaşabilirsiniz.

Kurul Karar Özetleri

Kişisel Verilerin Korunması Kurulu (“Kurul”), 27 Aralık 2023 tarihinde 31 (otuz bir) yeni karar özeti yayınladı. Öne çıkan karar özetlerini sizler için derledik:

E-Ticaret Sitesinden Alışveriş Yapılabilmesi için Kredi/Banka Kartı Bilgilerinin Kaydedilmesinin Zorunlu Tutulması Hakkında Kurul Kararı

Karara konu olayda, bir e-ticaret sitesinden alışveriş yapabilmek için ödeme ekranında müşterilere ait kredi/banka kartı bilgilerinin kaydedilmesi zorunlu tutulmuştur. Aynı zamanda ilgili e-ticaret sitesi tarafından veri sahipleri aydınlatılmamış ve bu işleme faaliyetine ilişkin açık rızaları da alınmamıştır. Kurul, e-ticaret sitesi tarafından kart bilgilerinin alışverişin tamamlanması için işlenebileceğini ancak alışveriş tamamlandıktan sonra kart bilgilerinin üyelik hesabında işlenmeye devam edilmesinin bir amaç değişikliği niteliğinde olduğunu ve kart bilgilerinin yalnızca ilgili kişinin bu yöndeki açık rızası ile saklanabileceğini vurgular.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Bir hizmet ile doğrudan bağlantılı olmayan işlemler için açık rıza verilmesi o hizmetin sunulması için şart koşulmamalıdır.
• Kişisel verilerin elde edilme amacından farklı bir amaçla veri işleme faaliyeti yürütülecekse, bu amaç için ayrıca değerlendirme yapılarak uygun veri işleme şartı belirlenmelidir. Yeni amaç için diğer hukuka uygunluk nedenleri uygulanabilir değilse, ilgili kişinin açık rızası alınmalıdır.
• Veri sahipleri kişisel verilerinin işlenmesi hakkında daima aydınlatılmalıdır. 

Kargo Şirketi Çalışanı Tarafından Teslimat Sonrasında İlgili Kişinin Telefonuna Kısa Mesaj Gönderilmesi Hakkında Kurul Kararı

Karara konu olayda bir çevrimiçi alışveriş sitesinden yapılan alışveriş sonrasında ürünü teslim eden kurye tarafından ilgili kişiye taciz içerikli mesaj gönderilmiştir. Veri sorumlusu tarafından internet sitesi hakkında başlatılan soruşturma neticesinde Kurul öncelikle, veri sorumlusunun 6098 sayılı Türk Borçlar Kanunu’nda düzenlenen adam çalıştıranın sorumluluğu ve 4857 sayılı İş Kanunu’nda düzenlenen asıl işverenin sorumluluğu hükümleri kapsamında söz konusu ihlalden sorumlu olduğunu değerlendirmiştir.

Kurul; veri sorumlusu olan asıl işveren tarafından olayın gerçekleştiği sırada kendisi adına çalışan şahsa kişisel verilerin korunması ve veri güvenliği konusunda herhangi bir eğitim verilmemesi ve gerekli bilgilendirmelerin yapılmaması nedeniyle idari para cezasına hükmetmiştir.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Veri sorumluları, alt işveren çalışanları dahil olmak üzere özellikle kişisel veriler ile doğrudan temasa geçen tüm çalışanlarına kişisel verilerin korunması ve veri güvenliği konusunda periyodik olarak eğitim vermeli, bu eğitimlerin verilmesini sağlamalı ve periyodik denetimler gerçekleştirmelidir.

Şirket Ortaklığından Ayrılan İlgili Kişinin E-posta Hesabına Erişilmesi Hakkında Kurul Kararı

Veri sorumlusu şirket nezdinde ortaklıktan ayrılan ilgili kişiye ait kurumsal e-posta hesabına iletilen e-posta iletilerinin okunduğu olayda Kurul, ilgili kişinin daha önceden kullanmış olduğu ve pasif durumda bulunan eposta adresine ileti gönderilmeye devam edildiğini ve e-posta verilerinin kişisel veri niteliğinde olduğunu tespit etmiştir. Kararda, işten ayrılan veri sahibine ait e-posta adresine ileti gönderilmesinin engellenmemesi sayesinde gönderilen iletilerin görüntülenmesine imkân sağlandığı, bu durumun da veri ihlali niteliğinde olduğu değerlendirilir.  

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler

• İşten ayrılan çalışan ve ortaklara ait e-posta hesabının farklı bir şirket çalışanına yönlendirilmesi seçeneği mümkün olduğu ölçüde tercih edilmemeli; bu hesaplara ileti gönderilmesi engellenerek iletilere yetkisiz kişiler tarafından erişilmesi imkânı ortadan kaldırılmalıdır.

İşveren Tarafından Çalışana Ait İbadet Görüntülerinin Dava Dosyasına İbraz Edilmesi Hakkında Kurul Kararı

Kurul, şirket çalışanının ibadethane içindeki görüntülerinin, işveren tarafından rızası dışında kaydedilip taraflar arasında görülen dava dosyasına sunulduğu bir olayda, veri sorumlusu işverenin kameralar vasıtasıyla ibadethane içerisindeki görüntü kayıtları aracılığıyla ilgili kişinin özel nitelikli kişisel verisi niteliğinde olan dini inancına ilişkin veri işlediğini tespit etmiştir. Kurul, istihdam ilişkisinde mevcut güç dengesizliği nedeniyle çalışana rıza göstermeme imkânının etkin bir biçimde sunulmadığı durumlarda, çalışan tarafından verilen açık rızanın geçerli olmayacağı yönündeki görüşünü bir kez daha vurgulamış ve somut olayda işveren tarafından geriye dönük olarak alınan açık rızayı kabul etmemiştir.

Ayrıca çalışanların; soyunma odaları, tuvaletler, duşlar, mescit, dinlenme odaları ve emzirme odaları bakımından makul bir mahremiyet beklentisinde olduğu; bu alanların işveren tarafından görüntülenmesinin bu beklentiyi zedelediği ve çalışanların özel alanlarının böylelikle işgal edildiği değerlendirilmiştir. Son olarak Kurul, mescidin, çalışma alanı çerçevesinde izlenmesini mecbur kılacak herhangi bir vasfının olmadığını belirterek izleme faaliyetinin hukuka aykırı olduğunu belirtmiştir.

Kurul karar özetine buradan ulaşabilirsiniz.

Yapılması Gerekenler

• İş ilişkisinde mevcut güç dengesizliği dikkate alınarak çalışana rıza vermeme imkânı daima sunulmalı ve rıza vermeme seçeneği olumsuz bir sonuca bağlanmamalıdır.
• Çalışanların makul bir mahremiyet beklentisinde olduğu alanlar, bu durumu mecbur kılacak haklı bir sebep olmadıkça izlenmemeli ve görüntü kaydı alınmamalıdır.

Geniş Katılımlı Çevrim İçi Bir Oyunun Türkiye’deki Dağıtıcısı ve Tek Yetkilisi Konumundaki Veri Sorumlusu Tarafından Kişisel Verilerin Hukuka Aykırı İşlenmesi Hakkında Kurul Kararı

Veri sorumlusu oyun şirketi ve hizmet aldığı firmanın şirket merkezinde yerinde inceleme gerçekleştiren Kurul, aydınlatma yükümlülüğünün yerine getirilmesi ve çerez kullanımı hakkında önemli değerlendirmelerde bulunmuştur. Buna göre, veri sorumlusunun internet sitesinde 3 (üç) farklı aydınlatma metninin (“Kayıt Ol Aydınlatma Metni”, “Gizlilik Politikası” ve “Kişisel Veri Koruma Politikası”) bulunması ilgili kişiler açısından karmaşık bir durum olarak değerlendirilmiş; bu metinlerde “paylaşılabilir” gibi muğlak ifadelere yer verilmemesi ve aydınlatma metinlerinin KVKK ile uyumlu olması gerektiği vurgulanmıştır. Son olarak, aydınlatma metinlerinin birbirleriyle ve VERBİS kayıtları ile uyumlu olmadığı; ayrıca veri sorumlusunun aktarım faaliyetlerini doğru bir şekilde yansıtmadığı tespit edilmiştir.

Kararda, internet sitesinde çerezlere ilişkin bulunan pop-up altında “sadece gerekli çerezleri kullanın” ve “tüm çerezlere izin ver” olmak üzere 2 (iki) seçeneğin sunulduğu ve böylece ilgili kişilerden toplu rıza alındığı tespit edilmiştir. Kurul, rıza alınmasını gerektiren her bir çerez tipi için sunulması ve “opt-in” yöntemiyle açık rıza alınmasının gerekli olduğunu vurgulamıştır. Diğer yandan, internet sayfasına üçüncü taraf çerezlerin yerleştirildiği durumlarda hem internet sitesi sahibi hem de üçüncü tarafın, çerezler hakkında kullanıcıları bilgilendirmekle yükümlü olduğu belirtilmektedir. Eğer yurt dışında yerleşik üçüncü taraf çerez sağlayıcılarından hizmet alınıyorsa, yurt dışı aktarımına ilişkin internet sitesi kullanıcılarından rıza alınması veya KVKK’da öngörülen diğer aktarım yöntemlerinin uygulanması gerektiği ifade edilmektedir.

Kurul karar özetine buradan ulaşabilirsiniz.           

Yapılması Gerekenler

• Tek bir veri işleme faaliyeti için farklı adlar altında birden fazla aydınlatma metni hazırlanmamalıdır.
• Zorunlu çerezler dışında kalan her bir çerez tipi için veri sahibine ayrı ayrı rıza verme veya vermeme seçeneği “opt-in” yöntemiyle sunulmalıdır. “Tüm çerezlere izin ver” şeklinde topluca rıza alınmamalıdır.
• Yurt dışında yerleşik üçüncü taraf çerez sağlayıcılarıyla çalışılması halinde, yurt dışı aktarımı için KVKK’da düzenlenen aktarım şartları yerine getirilmelidir.

Anayasa Mahkemesi, Kurul Tarafından Verilen İdari Para Cezasına Yapılan İtirazın Sulh Ceza Hakimlikleri Tarafından Gerekçesiz Bir Şekilde Reddedilmesini Anayasa’ya Aykırı Buldu

Karara konu olayda, veri sorumlusu aleyhine veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirlerin alınmadığından bahisle Kurul tarafından toplam 1.450.000,00 TL idari para cezası uygulanmasına karar verilmiştir. Başvurucu, idari para cezasına karşı çeşitli gerekçelerle Sulh Ceza Hakimliği’ne itiraz etmiştir. Ancak Sulh Ceza Hakimliği tarafından yapılan inceleme sonucunda, idari para cezasının uygun olduğu değerlendirilerek gerekçesiz bir şekilde itiraz reddedilmiştir.

Anayasa Mahkemesi, başvurucu iddialarının yargılama sürecinin bütününü etkileyen önemli ve karşılanması gereken iddialar olduğunu ve bu nedenle başvurucunun bu itirazları hakkında hiçbir değerlendirme yapılmamış olmasının mülkiyet hakkını ihlal ettiğine karar vermiştir.

Anayasa Mahkemesi kararına buradan ulaşabilirsiniz.

Dünya’dan Güncel Gelişmeler

8 Aralık 2023 Tarihinde Avrupa Parlamentosu, Yapay Zekâ Yasası Konusunda Konsey ile Geçici Bir Anlaşmaya Vardı

2 (İki) yıl süren tartışmalar ve Avrupa Birliği’nin (“AB”) 8 Aralık 2023 tarihinde sonuçlandırdığı yoğun nihai müzakereler sonucunda Yapay Zekâ Yasası üzerinde geçici anlaşmaya varıldı. 

Yapay Zekâ Yasası, yapay zeka sistemlerini farklı kuralların uygulandığı çeşitli risk kategorilerine ayırır ve AB’de yerleşik olmasalar bile yapay zeka sistemlerinin üreticilerine, ithalatçılarına, dağıtıcılarına ve operatörlerine yükümlülükler getirir. Yükümlülüklerin ihlali halinde uygulanacak yaptırımlar, caydırıcılık açısından önemlidir. Üzerinde anlaşmaya varılan metnin AB yasası haline gelebilmesi için öncelikle Parlamento ve Konsey tarafından resmen kabul edilmesi gerekir. 

Geçici anlaşmaya ilişkin duyuruyu buradan ve müvekkil duyurumuza buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Yapay Zekâ Yasası, ulusal yasa koyucular tarafından ek bir düzenlemeye gerek olmaksızın üye devletlerde doğrudan uygulanacak ve ayrıca sınır ötesi bir uygulama alanına sahip bir yasal düzenlemedir. Bu nedenle, Yapay Zekâ Yasası kapsamına giren tarafların yükümlülüklerini tespit ederek yasal düzenlemelerle uyumlu hale gelmeleri için gecikmeden hazırlıklara başlamaları önem arz eder.

Veri Yasası Yürürlüğe Girdi

Verilere adil erişim ve kullanımına ilişkin uyumlaştırılmış kurallar hakkında ve 2017/2394 sayılı AB Tüzüğü ile 2020/1828 sayılı AB Direktifini tadil eden 13 Aralık 2023 tarihli ve 2023/2854 sayılı Avrupa Parlamentosu ve Konsey Tüzüğü (“Veri Yasası”), Avrupa Parlamentosu’nun 9 Kasım 2023 tarihinde nihai versiyonu onaylamasının ardından 11 Ocak 2024 tarihinde yürürlüğe girdi. Bu mevzuat, kişisel ve kişisel olmayan verilerin AB içerisinde paylaşılması ve kullanılmasını düzenlemek üzere tasarlandı. Nesnelerin İnterneti (IoT) cihazlarının ortaya çıkardığı zorluklara yanıt vererek etkili, adil ve yenilikçi bir veri ekonomisi geliştirmeyi amaçlar. Veri Yasası 20 ay sonra, 12 Eylül 2025 tarihinde uygulanmaya başlayacak.

AB Veri Yasası ile ilgili daha fazla bilgiye buradan ve AB Veri Yasası ile ilgili hazırladığımız müvekkil duyurusuna buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Veri Yasası’ndan etkilenen işletmeler, düzenlemenin etkisini ileriye etkili olarak değerlendirmeli ve eksiksiz şekilde teknik, yasal ve idari uyum sağlamak için bir eylem planı oluşturmalıdır.

Avrupa Birliği Adalet Divanı Erişim Hakkının Ulusal Mevzuattan Öncelikli Olduğuna Karar Verdi

26 Ekim 2023 tarihinde, Avrupa Birliği Adalet Divanı (“ABAD”), AB Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında, ulusal hukukta aksi düzenlenmiş olsa dahi, hastaların tıbbi kayıtlarının ücretsiz bir kopyasını alma hakkına sahip olduğuna hükmetti. ABAD, C-307/22 (FT v DW) sayılı davada verdiği kararda, Alman hukukunda doktorların hastaların tıbbi kayıtlarına erişim için ücret talep etmelerine izin veren bir hükmün AB hukuku ile bağdaşmadığını ilan etti. Dava, hatalı olup olmadığını kontrol etmek için dental kayıtlarına erişim talep eden bir hastayla ilgilidir. ABAD, genel olarak, GDPR kapsamında erişim hakkının kullanılmasının birey için maliyet oluşturmaması gerektiğini vurgular. Mahkeme, GDPR’nin bireylerin erişim talepleri için gerekçe sunmalarını gerektirmediğini ve bu gerekçeye dayalı redde izin verilmediğini açıklığa kavuşturur. Ayrıca ABAD, veri sahiplerinin, ilgili belgelerin tam kopyaları da dahil olmak üzere, verilerinin eksiksiz ve anlaşılabilir bir kopyasını almaları gerektiğini yineler. Bu yöndeki uygulama, bireylerin veri işlemenin uygunluğunu anlaması ve işlenen verileri doğrulaması için gereklidir.

ABAD’ın basın açıklamasına buradan ulaşabilirsiniz.

27 Ekim 2023 Tarihinde Avrupa Veri Koruma Kurulu, Davranışsal Reklamcılık için Kişisel Verilerin Meta Tarafından İşlenmesine ilişkin Acil Bağlayıcı Kararı Kabul Etti

Avrupa Veri Koruma Kurulu (“EDPB”), İrlanda Veri Koruma Kurumu’na (“İrlanda Otoritesi”) Meta Ireland Limited (Meta IE) ile ilgili tedbirleri 2 (iki) hafta içinde sonuçlandırması talimatını veren acil bir bağlayıcı karar aldı. Karar, İrlanda Otoritesi’nin sözleşmeye ve meşru menfaate dayalı olarak tüm Avrupa Ekonomik Alanı (“AEA”) genelinde davranışsal reklamcılık için kişisel verilerin işlenmesine yasak getirmesini gerektirir. Yasak, İrlanda Otoritesi’nin Meta'ya nihai tedbirleri bildirmesinden 1 (bir) hafta sonra yürürlüğe girecek. EDPB, Meta’nın rızaya dayalı bir yaklaşıma dayanma önerisini kabul etmekte ve İrlanda Veri Koruma Komisyonu’nun şu anda İlgili Denetleyici Otoriteler (CSA’lar) ile birlikte bunu değerlendirmekte olduğunu belirtir.

EDPB tarafından yapılan duyuruya buradan ulaşabilirsiniz.

3 Ekim 2023 Tarihinde Birleşik Krallık Bilgi Komiserliği Çalışanların İşyerinde İzlenmesi Hakkında Yeni Bir Kılavuz Yayınladı

Bilgi Komiserliği Ofisleri (“ICO”) kılavuzlarının temel amacı, hukuki belirlilik konusunda netlik sağlamak, çalışanların veri koruma haklarını korumak ve işverenler, çalışanlar, müşteriler ve hizmet kullanıcıları arasında güveni teşvik etmektir.

Bu kılavuzlar, mahremiyet beklentisi yüksek olan uzaktan çalışanlara özel olarak odaklanarak, çalışma saatleri içinde ve dışında, iş yeri içinde ve dışında izleme faaliyetlerini kapsar. Kılavuz ilkeler, kullanılan izleme teknolojisinden bağımsız olarak işverenlerin Birleşik Krallık Genel Veri Koruma Tüzüğü'nün (“UK GDPR”) veri koruma ilkelerine uyması gerektiğinin altını çizmektedir. İzleme hedeflerine ulaşmak için en az müdahaleci yöntemlerin seçilmesinin önemini vurgular.

Kılavuzun tamamına buradan ulaşabilirsiniz.

ICO, Çalışanların Sağlık Verilerinin İşlenmesi Konusunda İşverenlere Yönelik Ayrıntılı Bir Kılavuz Yayınladı

Kılavuz, işverenlerin çalışanlarının sağlık bilgilerini kullanırken UK GDPR ve 2018 Veri Koruma Anlaşması kapsamındaki veri koruma yükümlülüklerini anlamalarına yardımcı olmayı amaçlar. Ayrıca kılavuz, hukuki belirliliğin artmasını, çalışanların veri koruma haklarını korumayı ve işverenlerin çalışanlarla güven tesis etmelerine yardımcı olmayı sağlar. Çalışanların sağlık verilerinin adil kullanımını açıklayarak başlayan kılavuz, daha sonra hastalık ve yaralanma kayıtlarının ele alınması, iş sağlığı programlarının kullanımı, tıbbi muayeneler, uyuşturucu ve alkol testleri, genetik testler ve sağlık takibini kapsayan belirli konulara değinir. Kılavuz aynı zamanda çalışanların sağlık bilgilerinin paylaşılabileceği durumları da ele alır. Her bölüm, kullanışlı bir özet ve referans noktası sağlayan pratik kontrol listeleri ile sona erer.

Kılavuzun tamamına buradan ulaşabilirsiniz.

İspanya Veri Koruma Kurumu Erişim ve Çalışan Devam Kontrolü için Biyometrik Sistemlerin Kullanımına ilişkin Bir Kılavuz Yayınladı

23 Kasım 2023 tarihinde İspanyol Veri Koruma Kurumu (“AEPD”), mevcudiyet ve erişim kontrolü için biyometrik verilerin kullanımına ilişkin bir kılavuz yayınladı. AEPD’nin erişim kontrolü için biyometrik veri kullanımına ilişkin kılavuzu GDPR ile uyumluluğu vurgular. İstihdamla ilgili biyometrik verilerin işlenmesi için yasal yetkilendirme gerekeceğini vurgular ve güç dengesizlikleri nedeniyle yalnızca rızaya güvenilmesi konusunda veri sorumlularını uyarır. Kılavuz ayrıca bireyleri etkileyen otomatik kararları kısıtlar ve uygunluk, gereklilik ve orantılılığı sağlamak için veri işleme faaliyetine başlamadan önce Veri Koruma Etki Değerlendirmesi yapılmasını zorunlu kılar.

Kılavuzun tamamına İspanyolca olarak buradan ve daha fazla bilgiye buradan ulaşabilirsiniz.

Fransız Veri Koruma Kurumu, Yapay Zekanın GDPR ile Uyumluluğunu Teyit Etti

12 Ekim 2023 tarihinde, Fransız Veri Koruma Kurumu (“CNIL”), kişisel verileri içeren yapay zekâ sistemlerinin geliştirilmesinde GDPR ile uyumluluğu ele alan ilk kılavuz setini yayınladı. Kılavuzun temel amacı, yapay zekâ sistemlerinin geliştirilmesinin gizlilik hususlarıyla sorunsuz bir şekilde uyum sağlayabileceği konusunda sektöre güvence vermektir. Amaç sınırlaması, veri saklama, veri minimizasyonu ve verilerin yeniden kullanımı ana hususlardır. Kapsayıcı hedef, vatandaşlar arasında bu teknolojilere güven aşılamaktır. Kılavuz, yapay zekâ sistemlerinin gelişim aşamaları sırasında temel GDPR ilkelerinin uygulanmasına ilişkin pratik bilgiler sunmaktadır.

Daha fazla bilgiye buradan ulaşabilirsiniz.

Finansal Hizmet Şirketleri Doğrudan Pazarlama İhlalleri Nedeniyle 170.000 £ Para Cezasına Çarptırıldı

2 Kasım 2023 tarihinde 3 (üç) finansal hizmet şirketi, yasadışı doğrudan pazarlama uygulamaları yoluyla Gizlilik ve Elektronik İletişim Düzenlemelerini ihlal ettikleri gerekçesiyle ICO tarafından toplu olarak 170.000 £ tutarında para cezası ile karşı karşıya kaldı. Cezaların temelini oluşturan uygulamalar kısaca, veri sahiplerinden geçerli bir şekilde açık rıza alınmaksızın pazarlama faaliyetlerinde bulunulması olarak özetlenebilir.

Habere buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Pazarlama ve tanıtım faaliyetleri öncesinde mutlaka veri sahipleri aydınlatılmalı ve bu yönde rızaları alınmalıdır.
• Veri sahiplerine diledikleri zaman rızalarını geri alma imkânı tanınmalı ve rızasını geri alan kişilere elektronik ticari ileti gönderilmemelidir.
• Alınan rızalar periyodik olarak gözden geçirilmeli ve yenilenmelidir.

AB-ABD Veri Gizliliği Çerçevesinin Birleşik Krallık Uzantısı Yürürlüğe Giriyor

Genellikle Birleşik Krallık-ABD Veri Köprüsü olarak adlandırılan AB-ABD Veri Gizliliği Çerçevesinin Birleşik Krallık Uzantısı, 12 Ekim 2023 tarihinde yürürlüğe girdi. Veri köprüsünün uygulama alanının genişlemesi, kişisel verilerin Birleşik Krallık’tan Amerika Birleşik Devletleri'ne (“ABD”) aktarılmasını, ek koruma önlemleri gerekliliğini ortadan kaldırarak kolaylaştırır.

Daha fazla bilgiye buradan, daha detaylı açıklamalar için ise bir önceki bültenimize buradan ulaşabilirsiniz.

Beyaz Saray, Yapay Zekâ Konusunda Kararname Yayınladı

ABD’de Başkan Joe Biden, 31 Ekim 2023 tarihinde yapay zekâ konusunda bir kararname yayınladı. Beyaz Saray'ın bilgi notunda belirtildiği üzere, kararname, yapay zekâ güvenliği ve emniyeti için yeni standartlar oluşturmaya, Amerikan vatandaşlarının mahremiyetini korumaya, eşitliği ve medeni hakları teşvik etmeye, tüketicileri, hastaları ve öğrencileri savunmaya, işyerinde çalışanları desteklemeye, inovasyonu ve rekabeti teşvik etmeye, ABD'nin uluslararası liderliğini güçlendirmeye ve hükümet tarafından yapay zekanın sorumlu ve etkili bir şekilde kullanılmasını sağlamaya odaklanır.

Duyuruya buradan ulaşabilirsiniz.

CNIL, Kolaylaştırılmış Protokolünü Kullanarak On Yeni Ceza Verdi

CNIL tarafından güncellenmiş yaptırım prosedürü kapsamında verilen son 10 (on) karar serisinde, 2 (iki) temel konuya özellikle önem verildi: çalışan araçlarının coğrafi konum takibi ve çalışanların sürekli olarak kamera ile izlenmesi. 

Coğrafi konum belirleme ile ilgili olarak CNIL, çalışanlara molalar sırasında sistemi durdurma veya askıya alma seçeneği sunmadan coğrafi konum verilerinin sürekli olarak kaydedilmesinin, zorlayıcı bir gerekçe olmadığı sürece, çalışanların hareket özgürlüğüne ve mahremiyet hakkına haksız bir müdahale teşkil ettiğini vurgular.

Çalışanların işyerinde sürekli olarak kamera ile izlenmesi konusunda CNIL tutumunu yinelemektedir. Buna göre CNIL, somut bir gerekçe olmaksızın gerçekleştirilen daimî gözetimin çalışanların mahremiyet haklarını ihlal ettiğini açıkladı. İşyeri güvenliği ve olası uyuşmazlıklar için delil toplama meşru nedenler olsa da çalışanların kesintisiz bir şekilde kamera ile gözetlenmesini haklı kılmaz. Bu gibi durumlarda, kişisel veri işleme faaliyeti uygun ve yerinde olarak kabul edilemez. Çalışanların rutin olarak gözetlenmesi, sınırlı istisnalar dışında, amaçlanan hedefler karşısında orantısız kabul edilmektedir. 

Habere buradan ulaşabilirsiniz.

Yapılması Gerekenler:

• Çalışanların coğrafi konum belirleme sistemleri veya CCTV'ler aracılığıyla gözetlenmesi, gözetlemenin amacı ve yasal dayanağı göz önünde bulundurularak süre ve hatta yer bakımından sınırlı olmalıdır. Çalışanlar, özel bir gerekçe olmadığı sürece rutin ve kesintisiz olarak kaydedilmemelidir.

Kaliforniya Kişisel Verileri Koruma Ajansı, Otomatik Karar Alma Sürecinden Çıkma ve Erişme ile ilgili Düzenlemelerin İlk Taslağını Tanıttı

Kaliforniya Kişisel Verileri Koruma Ajansı (“CPPA”), siber güvenlik denetimleri, risk değerlendirmeleri ve otomatik karar alma süreçlerine odaklanarak Kaliforniya Tüketici Gizliliği Yasası için kural koyma sürecini aktif bir şekilde ilerletti. En son gelişme, otomatik karar alma tercihi ve erişim haklarına ilişkin bir taslak yönetmeliğin yayınlanmasını içerir. 8 Aralık 2023 tarihinde CPPA, beşe sıfır oyla, tarayıcı satıcılarının, kullanıcıların tercih dışı bırakma (opt-out) işaretleri aracılığıyla mahremiyet haklarını kullanmalarına izin veren bir özellik eklemesini gerektiren bir yasa teklifini geliştirmek yönünde oy kullandı.

Taslak, “otomatik karar alma teknolojisini”, karar alma için makine öğrenimi, istatistik veya yapay zekâ kullanan sistemleri kapsayacak şekilde geniş bir şekilde tanımlar. Kaliforniya sakinleri için opt-out hakkı getirerek, yasal veya önemli etkileri olan kararlar, istihdam sırasında profil oluşturma ve halka açık yerlerde profil oluşturma için otomatik karar verme teknolojisinin kullanımını reddetmelerine olanak tanır. Teklifin kabul edilmesi halinde Kaliforniya, tarayıcı satıcılarının tüketicilere opt-out tercih işaretlerini etkinleştirme seçeneği sunmasını zorunlu kılma konusunda öncü olacaktır.

Daha fazla bilgiye buradan ulaşabilirsiniz.

ABAD, Kredi Derecelendirme Sektörünün Kredi Puanlarının Otomatik Olarak Atanmasına İlişkin Yaygın Uygulamanın GDPR ile Tutarsız Olduğuna Karar Verdi

ABAD, Alman bir kredi derecelendirme kuruluşu aleyhine kredi sıralama sektörü için etkileri olan 2 (iki) önemli karar verdi. İlk olarak ABAD, ulusal mahkemelerin veri koruma otoritelerini denetleyebileceğini teyit ederek veri sahiplerinin haklarını güçlendirdi. Ayrıca, kuruluşun, nihai kredi kararı bankalar tarafından verilirken kendisinin sadece değerlendirme yaptığını iddia eden argümanı mahkeme tarafından reddedildi. Bunun yerine mahkeme, kuruluşun bir bireyin gelecekteki ödeme kabiliyetini değerlendiren kişisel verilere dayalı bir olasılık puanını otomatik olarak oluşturmasının GDPR m. 22 kapsamında ‘otomatik bireysel karar alma’ kategorisine girdiğine hükmetti.

ABAD’ın bu kararı, kredi kuruluşlarının iş modellerine meydan okumakta, otomatik kredi puanlamasında şeffaflık ve rıza ihtiyacını vurgulamakta ve bireylere kredi puanlarına itiraz etme konusunda daha fazla hak tanımaktadır. Bu kararların daha geniş etkileri de vardır ve veri sahiplerinden gelen GDPR şikayetlerinin bireylerin haklarını korumak için çok önemli mekanizmalar olduğunu açıklığa kavuşturur. Genel olarak ABAD, şeffaflık, rıza ve veri koruma alanındaki kararlara itiraz etme becerisini vurgulayarak veri sahiplerinin haklarını önemli ölçüde geliştirmiştir.

Kararlara buradan ve buradan ulaşabilirsiniz.

ABAD, GDPR’ın Yalnızca Kusurlu Bir Şekilde İhlal Edilmesi Halinde İdari Para Cezası Verilebileceğine Karar Verdi

ABAD, GDPR ihlalleri için idari para cezalarının uygulanması sürecini kolaylaştıran çığır açıcı bir karar aldı. Bu karar, yerel veri koruma otoritelerin GDPR’yi ihlal ettiği için 1 (bir) veya daha fazla veri sorumlusuna idari para cezası uygulayabileceği koşullara açıklık getirmektedir. Özellikle, böyle bir para cezasının uygulanmasının, ihlalin kasten veya taksirle işlendiğini gösteren haksız fiil kanıtı gerektirdiğini belirtir. Ayrıca, karar uyarınca cezanın muhatabı bir şirketler grubunun parçasıysa, ceza hesaplaması tüm grubun cirosuna göre yapılmalıdır.

Bu dönüm noktası niteliğindeki karar ile GDPR uygulamasının güçlenmesi, üye devletlerin veri koruma otoritelerinin para cezası uygulamasının kolaylaşması ve gelecekte şirket cirosuna bağlı olarak verilecek para cezalarının daha yüksek olmasına yol açması beklenmektedir.

Karara buradan ulaşabilirsiniz.

EDPB, 12 Aralık 2023 Tarihinde GDPR’nin Etkin Uygulanmasına İlişkin Bir Rapor Kabul Etti

Son genel kurul oturumunda EDPB, Avrupa Komisyonu'na GDPR’ın etkin bir şekilde uygulanmasına ilişkin bir rapor sundu. EDPB, GDPR’ın ilk 5,5 yıldaki başarısını kabul etmekle birlikte, önündeki önemli zorlukları öngörmesine rağmen GDPR’ı revize etmek için erken olduğu görüşündedir. Bunun yerine, ortak yasa koyucular tarafından GDPR’ın sınır ötesi uygulanmasına yönelik ilave usul kurallarını belirleyen yeni bir düzenlemenin hızlı bir şekilde kabul edilmesi çağrısında bulunmaktadır.

Ayrıca EDPB, veri koruma otoriteleri ve EDPB’nin sorumluluklarını yerine getirebilmeleri için yeterli kaynak sağlanmasının öneminin altını çizer.

Rapora buradan ulaşabilirsiniz.

Bülteni pdf formatında indirmek için tıklayınız.