Kişisel Verilerin Korunması Bülteni - 2024 1. Çeyrek

Türkiye’den Güncel Gelişmeler 

6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İdari Para Cezası Tutarları Tespit Edildi

5326 sayılı Kabahatler Kanunu m. 17 uyarınca; idari para cezaları, her takvim yılı başından geçerli olmak üzere o yıl için 213 sayılı Vergi Usul Kanunu’nun mükerrer m. 298 hükümleri uyarınca tespit ve ilân edilen yeniden değerleme oranında artırılarak uygulanır. 2024 yılı için yeniden değerleme oranı, %58,46 olarak tespit edilmiştir. Bu kapsamda 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) öngörülen idari para cezalarının alt ve üst sınırlarının güncel tutarları aşağıdaki gibidir:

• Aydınlatma yükümlülüğünün yerine getirilmemesi durumunda; 47.303 – 946.308 TL,
• Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi durumunda; 141.934 – 9.463.213 TL,
• Kurul kararlarının yerine getirilmemesi durumunda; 236.557 – 9.463.213 TL ve
• Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi durumunda; 189.245 – 9.463.213 TL.

Kişisel Verileri Koruma Kurumu (Kurum) tarafından yayımlanan duyuruya buradan erişebilirsiniz.

Anayasa Mahkemesi, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un (5651 sayılı Kanun) Bazı Hükümlerini İptal Etti

Anayasa Mahkemesi (AYM), 10 Ocak 2024 tarihli ve 32425 sayılı Resmî Gazete’de yayımlanan 11.10.2023 tarihli ve 2020/76 E., 2023/172 K. sayılı kararı ile (Karar) 7253 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da Değişiklik Yapılmasına Dair Kanun’un bazı maddelerinin iptaline ilişkin talepleri değerlendirdi. Bu kapsamda AYM, 5651 sayılı Kanun m. 8’in (İçeriğin çıkarılması ve erişimin engellenmesi kararları ile yerine getirilmesi) bir kısmını ve m. 9’un (İçeriğin yayından çıkarılması ve erişimin engellenmesi) tamamını iptal etti. İptal gerekçesinde ilgili kuralların, masumiyet karinesini ve ifade ve basın özgürlüğünü ağır bir şekilde ihlal ettiği vurgulandı. Karar, 10.10.2024 tarihinde yürürlüğe girer.

AYM kararına buradan ve bu kararı ele alan Hukuk Postası makalemize ise buradan ulaşabilirsiniz.

Kişisel Verileri Koruma Kurulu’nun Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması Hakkında Kararı Yayımlandı

KVKK m. 16 uyarınca kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Ancak, Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenecek objektif kriterler ile, bazı veri sorumluları için Veri Sorumluları Siciline (VERBİS) kayıt yükümlülüğüne istisna getirilebilir. Kurul, 14.12.2023 tarihli ve 2023/2135 sayılı kararı ile köy kamu tüzel kişiliklerinin VERBİS’e kayıt yükümlülüğüne istisna getirilmesine karar verdi.

Kurul tarafından yayımlanan karara buradan ve bu konudaki duyurumuza ise buradan ulaşabilirsiniz.

Kurum’un 2024-2028 Dönemi Stratejik Planı Yayımlandı

Kurum, 12.01.2024 tarihinde 2024-2028 Dönemi Stratejik Plan (Plan) yayımladı. Plan’ın temel amacı; KVKK bilinirliğinin artırılması, KVKK kapsamındaki ihbar ve şikayetlerin hızlı bir karar alma süreci ile çözüme kavuşturularak hak arama kültürünün teşvik edilmesi ve dolayısıyla kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesinin sağlanmasıdır. Bu amaçlara ulaşabilmek için Plan; hazırlık süreci, mevcut durum analizi, geleceğe bakış, strateji geliştirme, izleme ve değerlendirme olmak üzere 5 bölümden oluşan bir yol haritası öngörür.

Kurum tarafından yayımlanan Plan’a buradan ulaşabilirsiniz.

Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber Yayımlandı

Kurum, 16.01.2024 tarihinde Kişisel Verilerin Korunması Kurumu tarafından Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber’i (Rehber) yayımladı. Rehber’in amacı, niteliği gereği ilgili kişilerin diğer kişisel verilerine de erişim imkânı sağlayabilmesi sebebiyle mağduriyete yol açabilecek olan Türkiye Cumhuriyeti (T.C.) kimlik numaralarının işlenmesi sırasında dikkat edilmesi gereken hususları vurgulamaktır. Rehber; e-ticaret, kargo, taşımacılık, elektronik haberleşme ve sigortacılık gibi sektörlerin yanında kamu kurum ve kuruluşları tarafından sunulan hizmetlerde T.C. kimlik numarasının işlenmesine ilişkin ilgili mevzuat hükümlerini de ortaya koymak suretiyle veri sorumlularına yol gösterir.

Kurum tarafından yayımlanan Rehber’e buradan ve bu konudaki duyurumuza ise buradan ulaşabilirsiniz.

“Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Finansal Hesap Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri” Hakkında Kamuoyu Duyurusu Yayımlandı

Kurum, 17.01.2024 tarihinde “Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Finansal Hesap Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri” Hakkında Kamuoyu Duyurusu (Duyuru) yayımladı. Duyuru’da yurt dışında ikamet eden çok sayıda Türkiye Cumhuriyeti vatandaşının finansal hesap verilerinin yurt dışındaki makamlara aktarılıp aktarılmadığı konusunda T.C. Gelir İdaresi Başkanlığı ve ilgili bankalara başvuruda bulunarak bilgi talep ettiği ve vatandaşların ilgili başvurulara yeterli cevap alamaması gerekçesiyle konu hakkında Kurum’a başvuruda bulunduğu belirtildi. Kurul, 28.12.2023 tarihli ve 2023/2199 sayılı kararına atıf yaparak bu tür veri aktarım faaliyetlerinin hukuka uygun olduğuna karar verdiğini ve ilgili başvurular kapsamında yapılacak başkaca bir işlem olmadığını vurguladı. Ayrıca Kurul, anılan karar çerçevesinde Kurum’a bu konu ile ilgili intikal eden ve edecek şikayetleri değerlendirmeye almayacağını belirtti.

Kurum tarafından yayımlanan Duyuru’ya buradan ulaşabilirsiniz.

Deep Fake Bilgi Notu Yayımlandı

Kurum, 19.01.2024 tarihinde Deep Fake Bilgi Notu yayımladı. Deep Fake Bilgi Notu, derin öğrenme (deep learning) ve sahte (fake) kelimelerinden oluşturulmuş olan “Deepfake” teknolojisinin daha iyi anlaşılabilmesi amacını taşır. Bu kapsamda Deepfake Bilgi Notu; Deepfake’in tanımına, ne için kullanıldığına, kişisel veriler açısından oluşturduğu tehditlere, nasıl tespit edilebileceğine ve Deepfake teknolojisine karşı kişilerin ve kurumların neler yapabileceğine ilişkin bilgilere yer verir.

Kurum tarafından yayımlanan Deepfake Bilgi Notu’na buradan ve bu konudaki duyurumuza ise buradan ulaşabilirsiniz.

Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu Yayımlandı

Kurum, 12.02.2024 tarihinde Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu (Bilgi Notu) yayımlandı. KVKK m. 5/2(a) bendinde yer alan “kanunlarda açıkça öngörülme” kişisel veri işleme şartının kapsam ve anlamını açıklığa kavuşturmayı amaçlar. Bilgi Notu hem Türk hukuku ve hem de Avrupa Birliği (AB) hukuku kapsamında değerlendirmelere yer verir.

Kurum tarafından yayımlanan Bilgi Notu’na buradan ve bu konudaki duyurumuza ise buradan ulaşabilirsiniz.

Çevrim içi Mahremiyet ve Çerezler Konulu KVKK Bülten Yayımlandı

Kurum, 15.02.2024 tarihinde çevrim içi mahremiyet ve çerezler konulu KVKK Bülten’i (Bülten) yayımladı. Kurum tarafından yayımlanan üçüncü bülten olan bu sayıda; çerezlerin tarihi, çerezlerin işlevi, çerezlerin nasıl çalıştığı ve çerezlere ilişkin iyi ve kötü uygulama örnekleri, dijital parmak izi ile çerezler ve mahremiyet konularına ilişkin pek çok önemli bilgiye yer verildi.

Kurum tarafından yayımlanan Bülten’e buradan ulaşabilirsiniz.

KVKK Değişiklikleri Resmî Gazete’de Yayımlandı

KVKK’ya dair değişiklikler öngören 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (Kanun) 12.03.2024 tarih ve 32487 Sayılı Resmî Gazetede yayımlandı. Kanun ile AB Genel Veri Koruma Tüzüğü (GVKT) ile paralel olacak şekilde yeni işleme şartları getirmek suretiyle özel nitelikli kişisel verilere ilişkin işleme şartları yeniden düzenlendi. Bununla birlikte, kişisel verilerin yurt dışına aktarılması işlemine yönelik olarak GVKT’de öngörülen sistematiğe paralel bir yaklaşım benimsenerek yeni bir sistematik oluşturuldu. Ayrıca, Kurul tarafından verilecek idari para cezalarına karşı itiraz makamı, idare mahkemeleri olarak değiştirildi.

Kurum tarafından yayımlanan duyuruya buradan ve bu konudaki duyurumuza ise buradan ulaşabilirsiniz.

Yapılması Gerekenler

• KVKK'ya tabii veri sorumluları ve veri işleyen taraflar açısından özel nitelikli kişisel verilerin işlenmesi ve yurt dışı aktarımına dair yeni sistematik Haziran 2024'te yürürlüğe girecektir. Kişisel veri işleme faaliyeti gerçekleştirenler bu süre zarfında gelişmeleri yakından takip etmeli; Yönetmelik ve Kurum duyuruları yayımlandığında yeni sisteme uyum için hazırlıklarına başlamalıdır. 

Dünya’dan Güncel Gelişmeler 

OECD (Ekonomik Kalkınma ve İş Birliği Örgütü) Yapay Zekâ, Veri ve Gizlilik Alanlarında Politika Sinerjileri için Yeni Bir Uzman Grubu Kurdu

OECD, Yapay Zekâ (AI), Veri ve Mahremiyet üzerine OECD.AI Uzman Grubu adında yeni bir uzman grubunun kurulduğunu resmen duyurdu. Uzman grubu, veri koruma yetkilileri, politika yapıcılar, endüstri, sivil toplum ve akademi gibi çeşitli sektörlerden dünya çapında önde gelen uzmanlardan oluşuyor. Grup, farklı yetki alanlarının AI ile ilgili gizlilik sorunlarını nasıl ele aldığına dair bakış açılarını paylaşmayı ve AI teknolojisinin gizliliğe saygı duymasını ve geliştirmesini sağlamanın yollarını keşfetmeyi amaçlamaktadır. Birlikte çalışabilirliği ve koordinasyonu teşvik etmek için uzmanlar, AI ve gizlilik alanları arasındaki terminoloji kullanımındaki farklılıkları ele alacaklardır. Kişisel verileri etik bir şekilde işleyen adil AI sistemleri geliştirmeyi amaçlayan uzmanlar, algoritmik adalet ve bağlamsal adalet gibi kavramlar arasındaki kesişimleri keşfedecekler.

Söz konusu habere buradan ulaşabilirsiniz.

AB Veri Yasası Yürürlükte

11.01.2024 tarihinde, AB 2017/2394 sayılı Tüzük ve 2020/1828 sayılı Direktif’i tadil eden, verilere adil erişim ve kullanımına ilişkin uyumlaştırılmış kurallara ilişkin 13.12.2023 tarihli ve 2023/2854 sayılı Avrupa Parlamentosu ve Avrupa Konseyi Tüzüğü (Veri Yasası) yasama sürecini tamamlayarak yürürlüğe girmiştir. Veri Yasası, AB'de verilerin sunduğu zorlukları ele almak ve fırsatları değerlendirmek için kapsamlı bir girişim olup; adil erişim ve kullanıcı haklarına vurgu yaparken kişisel verilerin korunmasını da garanti altına alır. Esas olarak 12.09.2025 tarihinden itibaren geçerli olacaktır. Ancak bazı yükümlülükler farklı yürürlük tarihlerine sahip olabilir. Örnek vermek gerekirse, bağlantılı ürün ve hizmetlerin kullanıcı verilerine erişime izin verecek şekilde tasarlanması gerekliliği, 12.09.2026 tarihinden sonra piyasaya sunulan ürün ve hizmetler için geçerli olacaktır.

Veri Yasası'nın tamamına buradan ulaşabilirsiniz.

Avrupa Komisyonu Yapay Zekâ Ofisini Kurma Kararını Açıkladı

24.01.2024 tarihinde Avrupa Komisyonu (AK), İletişim Ağları, İçerik ve Teknoloji Genel Müdürlüğü'nün idari yapısının bir parçası ve yıllık yönetim planına tabi olarak AK bünyesinde Avrupa Yapay Zekâ Ofisi'nin kurulmasına ilişkin kararını açıkladı. Avrupa Yapay Zekâ Ofisi, yapay zekâ sistemlerini denetleyen ulusal yetkili organların ve AB kurumlarının yetkilerini azaltmadan, AK’nın iç prosedürleri doğrultusunda faaliyet gösterecektir. Ofis, sektöre özgü yasalar kapsamında mevcut AB organları ile fazlalık olmamasını sağlayarak kılavuzlar yayınlayacaktır.

Karara buradan ulaşabilirsiniz.

Avrupa Veri Koruma Kurulu İnternet Sitesi Denetleme Aracını Tanıttı

29.01.2024 tarihinde Avrupa Veri Koruma Kurulu (EDPB), internet sitelerinin veri koruma yasalarına uygunluğunun analiz edilmesine yardımcı olmak üzere tasarlanmış bir internet sitesi denetim aracının kullanıma sunulduğunu duyurdu. EDPB Destek Uzman Havuzu bünyesinde geliştirilen araç, veri koruma otoritelerindeki hukuki ve teknik denetçilerin yanı sıra kendi internet sitelerini değerlendirmek isteyen veri sorumluları veya veri işleyenler tarafından da kullanılmaya uygundur. Araç, denetimlerin doğrudan araç arayüzü içinde kolayca hazırlanmasını, yürütülmesini ve değerlendirilmesini sağlar. Ayrıca diğer denetim araçlarıyla uyumluluk sağlar ve kapsamlı raporlar oluşturur. Bu girişim, EDPB'nin ortak araçlar ve çeşitli uzman havuzuna erişim yoluyla veri koruma makamlarının uygulama kapasitesini artırma stratejisiyle uyumludur.

Duyurunun tamamına buradan ulaşabilirsiniz.

İngiltere Veri Koruma Otoritesi (ICO) Kasım Ayındaki Eylem Çağrısına Gelen Olumlu Yanıtın Ardından Kuruluşları Reklam Çerezlerini Proaktif Olarak Uyumlu Hale Getirmeleri Konusunda Uyardı 

31.01.2024 tarihinde ICO, Kasım ayında yaptığı Eylem Çağrısı’nın ardından internet sitelerinde reklam çerezlerinin kullanımına ilişkin veri koruma yasasına uyumun sağlanmasında önemli ilerleme kaydedildiğini bildirdi. ICO, Eylem Çağrısı kapsamında ülkenin en büyük 100 internet sitesinden 53'ü ile iletişime geçtikten sonra, 38'inin çerez yönetim panellerini uyumlu hale getirdiğini ve dört tanesinin de bir ay içinde bunu yapacağını taahhüt ettiğini belirtti. ICO ayrıca, bu girişimin ilk 100 internet sitesinin ötesine geçeceğini, bir sonraki 100 ve ondan sonraki 100 internet sitesini ele almayı planladığını; uyumlu olmayan çerez yönetim panellerini daha verimli bir şekilde belirlemek için bir yapay zekâ aracının geliştirilmesini içerdiğini vurguladı.

Habere buradan ulaşabilirsiniz.

ICO, Kişisel Verileri İşleyen Yasal Hizmet Sağlayıcılarına Yönelik Sertifika Programını Onayladı

13.02.2024 tarihinde, hukuk firmaları ve avukatlar gibi yasal hizmet sağlayıcıların veri koruma gerekliliklerine uygunluk göstermelerine yardımcı olmak ve bunun karşılığında ürünlerini, süreçlerini ve hizmetlerini kullanan kişilere güven telkin etmek için Birleşik Krallık GDPR kapsamında sertifikasyon programları başlatılmıştır.

Habere buradan ulaşabilirsiniz.

EDPB, GDPR Kapsamında "Ana Kuruluş" Kavramına Açıklık Getirdi

13.02.2024 tarihinde EDPB, Fransız Veri Koruma Otoritesi’nin GDPR kapsamında bir veri sorumlusunun "ana kuruluşunun" tanımı ve tek noktadan hizmet (one-stop-shop) mekanizmasının uygulanmasına ilişkin kriterler konusundaki talebine cevaben bir görüş yayınladı. Görüşte EDPB, bir veri sorumlusunun AB'deki "merkezi idare yerinin" ancak kişisel verilerin işlenme amaçları ve araçlarına ilişkin kararları alması ve bu kararları uygulatma yetkisine sahip olması halinde ana kuruluş olarak kabul edilebileceğini belirtmiştir. Ayrıca EDPB, tek noktadan hizmet (one-stop-shop) mekanizmasının yalnızca veri sorumlusunun AB'deki bir kuruluşunun işleme faaliyetlerine ilişkin kararları alması ve uygulaması halinde geçerli olduğunu vurgulamıştır. Dolayısıyla, işleme faaliyetlerine ilişkin kararlar ve bunların uygulanması AB dışında gerçekleşiyorsa, GDPR kapsamında bir ana kuruluş yoktur ve tek noktadan hizmet (one-stop-shop) ofis mekanizması geçerli değildir.

Görüşün tamamına buradan ulaşabilirsiniz.

Yapılması Gerekenler

• GDPR kapsamında yer alan “ana kuruluş” kavramı AB dışında yerleşik şirketlerin GDPR’a tabi olup olmadığının belirlenmesinde kilit bir role sahiptir. Bu nedenle, hangi şartlar altında AB’de yerleşik bulunan kuruluşun “ana kuruluş” olarak kabul edileceği değerlendirilirken mutlaka EDPB görüşü de dikkate alınarak incelenmelidir.

Dijital Hizmetler Yasası AB'deki Tüm Çevrimiçi Platformlara Uygulanmaya Başladı

17.02.2024 tarihinde, AB'nin çevrimiçi ortamı daha güvenli, daha adil ve daha şeffaf hale getirmeyi amaçlayan dönüm noktası niteliğindeki düzenlemesi Dijital Hizmetler Yasası (DSA), AB'deki tüm çevrimiçi aracılar için geçerli duruma geldi. 50'den az kişi çalıştıran ve yıllık cirosu 10 milyon Euro'nun altında olan küçük ve mikro işletmeler hariç olmak üzere, AB'de kullanıcısı olan tüm çevrimiçi platformlar, (i) yasadışı içerik, mal ve hizmetlerle mücadele etmek, (ii) kullanıcılara reklamlar hakkında bilgi vermek, (iii) kullanıcıları hassas verilere dayalı olarak hedef alan reklamları yasaklamak, (iv) herhangi bir içerik moderasyon kararından etkilenen kullanıcılara gerekçelerini bildirmek, (v) kullanıcılara içerik moderasyon kararlarına itiraz etmek için bir şikayet mekanizmasına erişim sağlamak, (vi) yılda en az bir kez içerik moderasyon prosedürleri hakkında bir rapor yayınlamak, (vii) kullanıcılara açık hüküm ve koşullar sağlamak ve yetkililerin yanı sıra kullanıcılar için de bir irtibat noktası belirlemek amacıyla tedbirler almalıdır.

AK’nın basın açıklamasına buradan ulaşabilirsiniz.

Avrupa Parlamentosu Yapay Zekâ Yasasını Onayladı

Avrupa Parlamentosu 13.03.2024 tarihinde 523 lehte, 461 aleyhte ve 49 çekimser oyla AI Yasasını kabul etmiş olup Avrupa Konseyi'nin yasanın nihai metnini Nisan 2024'te resmi olarak onaylaması beklenmektedir. AI Yasası, sağlayıcıları, kullanıcıları, ithalatçıları ve distribütörleri kapsayan geniş kapsamlı bir uygulama alanına sahiptir ve yasaya aykırılık durumunda önemli para cezaları öngörmektedir. Yasa, AI için yeni kurallar öngörmekte ve "temel model" sağlayıcıları için ayrı gereklilikler getirmektedir. Risk temelli bir yaklaşım uygulayarak, "yüksek riskli" olarak kabul edilen AI sistemleri açısından önemli yükümlülüklere yer vermektedir. Ayrıca, "kabul edilemez risk" taşıyan belirli uygulamalar, istisnalar dışında yasaklanacaktır.

AI Yasasının tamamına buradan ulaşabilirsiniz.

Yapılması Gerekenler

• AI Yasası kapsamına giren sektör aktörlerinin yasa metnini, tabi oldukları kural ve yükümlülükleri incelemesi ve uyum sağlamak için hazırlıklara başlaması ve uyum yol haritası oluşturması gerekmektedir.

ICO Biyometrik Tanıma ile İlgili Kılavuz Yayınladı

23.02.2024 tarihinde ICO, biyometrik tanıma sistemlerinde biyometrik veriler kullanıldığında veri koruma yasasının nasıl uygulandığını açıklayan bir Biyometrik Tanıma Kılavuzu yayınladı. Kılavuz, Birleşik Krallık GDPR kapsamında biyometrik verilerin tanımını içermekte; biyometrik tanıma kullanımlarına odaklanmakta ve bunların özel nitelikli kişisel verilerin işlenmesini nasıl içerdiğini açıklamaktadır. Kılavuz; biyometrik verinin ne olduğunu, hangi şartlar altında özel nitelikli kişisel veri olarak kabul edildiğini, biyometrik tanıma sistemlerinde uyulması gereken veri koruma gerekliliklerini içermektedir.

Kılavuza buradan ulaşabilirsiniz.

Yapılması Gerekenler

• İngiltere'de yerleşik veri sorumlusu veya veri işleyen kuruluşlar başta olmak üzere biyometrik tanıma sistemlerini kullanan kişilerin ICO'nun söz konusu kılavuzunu gözden geçirmesi faydalı olacaktır.

ICO, Çerez Uyumluluğu Çalışmalarına İlişkin Görüş ve Güncellemeler için "Rıza veya Ödeme" Çağrısı Başlattı

06.03.2024 tarihinde ICO, çevrimiçi reklamcılıkta veri koruma yasalarına uyumu sağlama çabaları kapsamında "rıza göster ya da öde" modelini tanıtmıştır. Bu yaklaşım, kullanıcılara ücretsiz internet sitesi erişimi karşılığında kişiselleştirilmiş reklamlara izin verme veya bir ücret ödeyerek reklamları devre dışı bırakma arasında bir seçenek sunuyor. ICO, söz konusu yaklaşımına ilişkin olarak yayıncılar, reklamcılar ve akademisyenler de dahil olmak üzere çeşitli paydaşlardan bu düzenleyici strateji hakkında görüş toplamak için bir "görüş çağrısı" başlatmıştır.

Söz konusu habere buradan ulaşabilirsiniz.

Avrupa Birliği Adalet Divanı Kişisel Veriler ve Çevrimiçi Reklamlarla İlgili Karar Verdi

07.03.2024 tarihinde Avrupa Birliği Adalet Divanı (ABAD), Belçika Temyiz Mahkemesi tarafından yönlendirilen çevrimiçi reklamcılıkta "Gerçek Zamanlı Teklif" (RTB) ile ilgili 2 önemli soruyu karara bağladı. İlk soru, bir kullanıcının onay tercihlerini temsil eden ve potansiyel olarak IP adresi gibi tanımlanabilir verilerle bağlantılı bir kod olan  “Şeffaflık ve Kullanıcı Rızası Dizesi (TC Dizesi)” (Transparency and Consent String’in (TC String))  GDPR kapsamında kişisel veri olarak kabul edilip edilmeyeceği ile ilgiliydi. ABAD değerlendirmesi neticesinde, bir TC String’in kişisel veri olarak nitelendirilebileceğini teyit etmiştir.

İkinci soru, üyelerine rıza işleme kuralları sağlayan bir sektörel kuruluşun "veri sorumlusu" olarak nitelendirilip nitelendirilmeyeceği ve bunun hedefli reklamcılık için üçüncü taraflarca veri işlemede ortak veri sorumluluğu olarak kabul edilip edilemeyeceğiyle ilgiliydi. ABAD, sektörel bir kuruluşun kişisel verilerin nasıl işlendiğini önemli ölçüde etkilemesi durumunda "ortak veri sorumlusu" olarak kabul edilebileceğini; ancak ortak veri sorumluluğunun hedefli reklamcılık için internet siteleri veya uygulama sağlayıcıları gibi üçüncü taraf veri işlemeyi otomatik olarak kapsamadığını belirlemiştir.

Karara buradan ulaşabilirsiniz.

ABAD, Ceza Mahkumiyetine İlişkin Bilgi Paylaşımının GDPR Kapsamına Girdiğine Karar Verdi

07.03.2024 tarihinde, ABAD, ulusal bir mahkemenin üçüncü bir tarafın cezai mahkûmiyetlerine ilişkin verileri paylaşmayı reddetmesine ilişkin bir davada karar verdi. ABAD, devam eden veya tamamlanmış olası ceza davalarına ilişkin bilgilerin sözlü olarak ifşa edilmesinin, bir dosyalama sisteminin parçası olması veya olmasının amaçlandığı durumlarda, GDPR kapsamında "kişisel verilerin işlenmesi" teşkil ettiği sonucuna varmıştır. ABAD ayrıca, GDPR'nin, talep edenin ticari bir kuruluş veya bir birey olup olmadığına bakılmaksızın, talep edenin belirli bir menfaat göstermesini gerektirmeksizin, mahkeme dosyalarından bu tür verilerin herhangi bir kişiye sözlü olarak ifşa edilmesini yasakladığını değerlendirmiştir. Bu karar, GDPR'nin ceza mahkumiyetine ilişkin kişisel verilerin sözlü olarak işlenmesi ve ifşa edilmesi konusundaki tutumunu açıklığa kavuşturmaktadır.

Karara buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Veri sorumlusu veya veri işleyen kuruluşlar ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin özel nitelikli kişisel verilerin işlenmesi ve ifşasında ilgili veri koruma mevzuatında öngörülen kuralların yanı sıra güncel kararları da göz önünde bulundurmalı; sözlü olarak bilgi paylaşımında dahi veri koruma kurallarına uygun hareket etmelidir.

ABAD, Veri Koruma Otoritesinin Hukuka Aykırı Olarak İşlenen Verileri Silme Yetkisini Onayladı

14.03.2024 tarihinde, ABAD, bir üye devletin denetim makamının GDPR kapsamında öngörülen düzeltici yetkilerini kullanırken, veri sahibi tarafından bu yönde bir talepte bulunulmamış olsa dahi, veri sorumlusu ya da veri işleyen tarafından hukuka aykırı olarak işlenmiş kişisel verilerin silinmesini emretme hakkına sahip olduğuna karar vermiştir. ABAD ayrıca, bir üye devletin denetim makamının hukuka aykırı olarak işlenen kişisel verilerin silinmesini emretme yetkisinin hem doğrudan veri sahibinden elde edilen verileri hem de alternatif kaynaklardan elde edilen verileri kapsadığını vurgulamıştır.

Kararın tamamına buradan ulaşabilirsiniz.

Bülteni pdf formatında indirmek için tıklayınız.