Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Avrupa Birliği Genel Mahkemesi Whatsapp’ın EDPB’nin kararına itirazını reddetti.

TechCrunch'ın haberine göre; Avrupa Birliği Genel Mahkemesi, WhatsApp İrlanda'nın Avrupa Veri Koruma Kurulu'nun (“EDPB”) AB Genel Veri Koruma Tüzüğü (“GDPR”) uyarınca 267 milyon dolar tutarında para cezasına yol açan bağlayıcı kararını iptal etme talebine karşı aleyhinde karar verdi. WhatsApp'ın ana şirketi Meta da İrlanda Veri Koruma Komisyonu tarafından verilen para cezasına itiraz etti. WhatsApp sözcüsü, EDPB'nin kararına kesinlikle katılmadığını ve mevcut tüm seçenekleri değerlendireceğini belirtti.

Haberin tamamı için linke tıklayınız.

2. Garante, Clubhouse sahibine 2 milyon euro para cezası verdi.

İtalya Veri Koruma Otoritesi (“Garante”), sosyal ağ Clubhouse'un sahibi Alpha Exploration'a AB Genel Veri Koruma Tüzüğü’nü ihlal ettiği için 2 milyon Euro para cezası verdi. Garante, veri kullanımı konusunda şeffaflık yükümlülüğü eksikliği, kullanıcıların seslerini izinsiz olarak depolayabilmesi ve paylaşabilmesi, hesap bilgilerinin yasal bir dayanak olmadan paylaşılması ve kayıtlar için belirsiz saklama süreleri olduğunu belirtti. Garante, Alpha Exploration'ın kullanıcıları korumak için önlemler alacağını ve Clubhouse aracılığıyla işlenen veriler üzerinde bir etki değerlendirmesi yapacağını açıkladı.

Haberin tamamı için linke tıklayınız.

3. ABD Ulusal İstihbarat Direktörü, ebeveynleri çocukların TikTok'taki gizliliği konusunda uyardı.

ABD Ulusal İstihbarat Direktörü Avril Haines, Reagan Ulusal Savunma Forumu'nda NBC'ye verdiği bir röportajda, ebeveynlerin TikTok'ta çocukların karşı karşıya olduğu veri gizliliği riskleri konusunda endişelenmeleri gerektiği konusunda uyarıda bulundu. Ayrıca Avril Haines; Çin'in yabancı verilere erişebilme, bilgilendirme kampanyaları yürütme ya da diğer şeyler için kitle hedefleme ve aynı zamanda gelecekte çeşitli amaçlarla kullanabilmeleri amacıyla sahip olma imkanına da dikkat çekti.

Haberin tamamı için linke tıklayınız.

4. Avrupa Birliği kanun koyucuları e-Delil Yönetmeliği konusunda anlaşmaya vardı.

Euractiv tarafından yapılan habere göre, Avrupa Birliği Konseyi, Avrupa Parlamentosu ve Avrupa Komisyonu e-Delil Yönetmeliği (“Yönetmelik”) konusunda anlaşmaya vardı. Sınır ötesi cezai soruşturmaları kolaylaştırmayı amaçlayan işbu Yönetmelik, kolluk kuvvetleri tarafından başka bir AB ülkesinde saklanan elektronik delillerin elde edilmesini sağlayan bir mekanizma oluşturmaktadır. Ayrıca Yönetmelik, bir hakim tarafından bir hizmet sağlayıcıya karşı, şüpheliyle ilgili verileri daha sonra erişilebilecek şekilde saklamasını emredilebileceği Avrupa Koruma Emri'ni de içermektedir. Yönetmelik’in yine de kanun koyucular ve AB hükümetleri tarafından onaylanması gerekmektedir.

Haberin tamamı için linke tıklayınız.

5. Hong Kong Kişisel Veriler Gizlilik Komiseri Ofisi (“PCPD”) yıllık raporunu yayınladı.

Hong Kong PCPD, 2021-22 yıllık raporunu yayınladı. Rapor, 2021 yılı içerisinde Kişisel Veri (Gizlilik) Yasa Değişikliği Kararnamesi’ne geçişi ile uygulanmasını ayrıca yapay zekanın etik gelişimi ve kullanımı ile COVID-19 salgınıyla ilgili yayınlanan rehber dahil olmak üzere diğer birçok önemli olayları yansıtıyor. Gizlilik Komiseri Ada Chung tarafından, yılın "gizlilik koruma alanında hem yerel hem de küresel olarak çok çeşitli gelişmelerle", "telaşlı ancak bir o kadar da önemli" geçtiği belirtildi.

Haberin tamamı için linke tıklayınız.

6. Japonya ve Birleşik Krallık arasında dijital işbirliği kuruluyor.

Birleşik Krallık ve Japonya yetkilileri; vatandaşlar, işletmeler ve ekonomiler için "somut dijital politika sonuçlarını ortaklaşa sunmak" amacıyla çerçeve nitelikte olan Birleşik Krallık-Japonya Dijital İşbirliği kurdu. İşbirliği başlangıçta; dijital altyapı ve teknolojiler, veri, dijital düzenleme ve standartlar ile dijital dönüşümden oluşan dört şarta odaklanacak. Ülkeler; önlerindeki çalışmanın "veri akışlarını desteklemeyi", veri inovasyon önlemleri konusunda ortak işbirliğini oluşturmayı ve yapay zekanın "güvenilir, insan merkezli ve sorumluluk sahibi geliştirme ve uygulamasını desteklemek” konusunda birlikte çalışmayı içerdiğini belirtti.

Haberin tamamı için linke tıklayınız.

7. Planned Parenthood (Kar amacı gütmeyen Kuruluş), sağlık hizmeti verilerini korumak için “özel düzenleme” çağrısında bulunuyor.

MediaPost'un haberine göre, ABD Federal Ticaret Komisyonu'nun ticari gözetime ilişkin girdi talebine yanıt olarak Planned Parenthood, "tüketicilerin özel nitelikli verilerini ticari gözetimin ve yeterli olmayan veri güvenliğinin potansiyel olarak tehlikeli sonuçlarından korumak için özel düzenlemeler" yapılması çağrısında bulundu. Kuruluş, teknoloji şirketlerinin çevrimiçi arama motoru sonuçları da dahil olmak üzere kürtaj bilgilerini ifşa etmesinin yasaklanması ve sağlıkla ilgili verileri hızla imha etmesi gerektiğini belirtirken, sağlık hizmetlerine erişimle ilgili tüm verilerin gizli tutulması gerektiğine inandığını belirtti.

Haberin tamamı için linke tıklayınız.

8. Hollandalı siyasi parti mensuplarının kişisel bilgileri sızdırıldı.

Ruetir’ın haberine göre, Hollandalı siyasi parti Forum for Democracy'nin mobil uygulaması ForumApp aracılığıyla bütün üyelere ait bilgiler sızdırıldı. Yaklaşık 93 bin parti üyesinin, banka hesap numaraları ve adresleri de dahil olmak üzere tanımlanabilir bilgileri, uygulamanın kısa bir süre önce Genel Üyeler Toplantısı ile kullanımına başlanması ardından sızdırıldı. Sızıntı, Forum for Democracy'yi bilgilendiren ve “Bilişim teknolojileri sistemlerine bir saldırı" olduğunu iddia eden RTL Nieuws tarafından yapılan bir araştırmanın ardından keşfedildi.

Haberin tamamı için linke tıklayınız.

9. Fransa Veri Koruma Otoritesi (“CNIL”) telefon şirketine 300.000 Euro para cezası verdi.

Fransız telefon sağlayıcısı olan FREE, CNIL tarafından 300.000 Euro para cezasına çarptırıldı. CNIL, FREE'nin; bireylerin verilerine erişme hakkı, verilerini silme hakkı, verilerin korunmasını sağlayama ve veri ihlallerini belgeleme dahil olmak üzere çeşitli GDPR hükümlerini ihlal ettiğini tespit etti.

Haberin tamamı için linke tıklayınız.

10. Tıbbi tedarikçiye yapılan fidye yazılımı saldırısı hasta verilerini ifşa ediyor.

Bleeping Computer’ın haberine göre; Şikago merkezli sağlık tedarikçisi CommonSpirit Health, 21 eyalette 620.000'den fazla hastanın kişisel bilgilerini açığa çıkaran bir fidye yazılımı saldırısına uğradığını doğruladı. CommonSpirit Health ilk olarak 5 Ekim'de “bilişim teknolojileri güvenlik sorunu" olduğunu duyurmuş fakat başka herhangi bir bilgi açıklamamıştı. Son zamanlarda şirket, bir fidye yazılımı saldırısı tarafından hedef alındığını söyledi, ancak etkilenen hasta sayısını belirtmedi.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Avrupa Konseyi Dijital Operasyonel Dayanıklılık Yasasını kabul etti.

Avrupa Konseyi, üye ülkelerin finans sektörlerinin ciddi bir operasyonel kesinti karşısında dirençli kalabilmelerini sağlamak amacıyla Dijital Operasyonel Dayanıklılık Yasasını kabul etti. Yasa, finansal hizmet şirketlerinin yanı sıra üçüncü taraf bilgi iletişim teknolojisi sağlayıcılarının ağ güvenliği ve bilgi teknolojisi sistemleri için "tek tip gereklilikler" oluşturmaktadır. Üye devletlerin şu an yapması gereken, söz konusu mevzuatın ulusal aktarım gerektiren kısımlarını kabul etmektir. Eş zamanlı olarak, Avrupa Bankacılık Otoritesi de dahil olmak üzere ilgili Avrupa Denetim Otoriteleri, finansal kuruluşlar için gerekli teknik standartları geliştirecektir.

Haberin tamamı için linke tıklayınız.

2. Almanya Bağımsız Veri Koruma Otoriteleri Konferansı’nda (“DSK”) bireylerin sağlık verilerinin işlenmesi bakımından çözüm getirildi.

Almanya Bağımsız Veri Koruma Otoriteleri’nin 104. konferansında kişisel sağlık verilerinin işlenmesine yönelik bir karar tasarısı sunuldu. Federal Veri Koruma ve Bilgi Edinme Özgürlüğü Komiseri Ulrich Kelber, hasta verilerinin araştırma amacıyla kullanılması ve mahremiyetlerinin korunması arasında bir denge kurmak için DSK’nın veri sahipleri için en iyi yasal ve teknik korumayla birlikte şeffaf ve anlaşılır kurallar oluşturması gerektiğini ifade etti. Bu bakımdan alınacak önlemler, hasta verilerinin güvenilir bir makam tarafından şifrelenmesini ve takma adla kullanılmasını içerecektir.

Haberin tamamı için linke tıklayınız.

3. İrlanda Veri Koruma Komisyonu Meta'ya 265 milyon euro para cezası verdi.

İrlanda Veri Koruma Komisyonu, AB Genel Veri Koruma Tüzüğü'nü (“GDPR”) ihlal ettiği iddiasıyla Meta'ya 265 milyon euro para cezası verildiğini açıkladı. Bu ceza, Eylül ayında İrlanda'dan Meta'ya verilen 405 milyon euro tutarındaki cezanın ardından bugüne kadar verilen üçüncü en büyük GDPR cezasıdır. Komisyon’un Nisan 2021'de başlayan ilk soruşturmasında, Facebook'tan kullanıcıların kişisel bilgilerini içeren bir veri setinin ifşa edildiği iddiası incelendi. Soruşturma, platformun GDPR'nin 25/1. ve 25/2. maddelerini ihlal ettiği sonucuna vardı. Karar, ayrıca Meta'nın belirli bir zaman dilimi içinde bir dizi düzeltici eylemde bulunarak veri işleme faaliyetini hukuka uygun hale getirmesini gerektirmektedir.

Haberin tamamı için linke tıklayınız.

4. Bumble ve TikTok, rıza dışı müstehcen görüntülerin yayılmasını durdurmak için çaba gösteriyor.

Bloomberg'in haberine göre, TikTok ve Bumble, rıza dışı müstehcen görüntülerin platformlarında dolaşımıyla mücadele etme çabalarını artırdı. Birleşik Krallık'ta kâr amacı gütmeyen South West Grid for Learning kuruluşu, daha önce Meta ile birlikte çalışarak, kullanıcıların kendi mahrem fotoğraflarını Meta tarafından oluşturulan, veriyi hashleyerek veya dijital ayakizi oluşturarak aynı görselin başka kullanıcı tarafından tekrar yüklenmesini engelleyen bir veri tabanına yüklediği bir sistem geliştirdi. TikTok ve Bumble, veritabanından yüklenen fotoğrafları engellemek için anlaşma imzaladı.

Haberin tamamı için linke tıklayınız.

5. Brezilya‘nın yapay zeka komisyonu nihai raporu sunuyor.

Brezilya'nın yapay zeka yönetmeliklerini hazırlamakla görevli hukukçular komisyonu, nihai raporunu 6 Aralık'ta Brezilya Federal Senato Başkanı Rodrigo Pacheco'ya sunacak. Nihai metin Brezilya’da yapay zekanın gelişimi ve uygulanmasının regüle edilmesine ilişkin ilkeler kurallar ve esaslar getiriyor. Hukukçu Laura Schertel Ferreira, raporun üç ilkeye dayandığını söyledi: bireylerin haklarını sağlamak, riskleri değerlendirmek ve yapay zeka sistemini sağlayan veya işleten şirketlere uygulanan yönetişim önlemlerini tahmin etmek.

Haberin tamamı için linke tıklayınız.

6. Amazon yapay zeka tekliflerinde olası ayrımcılığa karşı uyarıda bulunacak.

Reuters’un haberine göre, Amazon, teknolojilerinin sahip olabileceği potansiyel ayrımcılık sorunlarına ışık tutmak için bazı yapay zeka tabanlı ürünlerinde uyarı kartları çıkaracağını bildirdi. Yapay Zeka Servis Kartları, bu hizmetlerin sınırları hakkında bilgi sağlamak için yüz tanıma ve ses transkripti dahil olmak üzere bulut bilişim ürünlerine iliştirilecek. Pennsylvania Üniversitesi profesörü ve Amazon akademisyeni Michael Kearns, bu hareketin en önemli yönünün "bunu sürekli ve genişletilmiş bir temelde gerçekleştirme taahhüdü" olduğunu söyledi.

Haberin tamamı için linke tıklayınız.

7. Birleşik Krallık yönetilen hizmet sağlayıcıları için zorunlu siber olay raporlamasını duyurdu.

The Record'un haberine göre Birleşik Krallık, yönetilen hizmet sağlayıcıları için zorunlu olay raporlama yükümlülükleri ve uyumsuzluk durumunda 17 milyon İngiliz Sterlinine kadar para cezaları içeren asgari güvenlik gereksinimleri de dahil olmak üzere Ağ ve Bilgi Sistemleri Düzenlemeleri’nde bir güncelleme duyurdu. Hükümet, temel hizmet sağlayıcıların kanunkoyuculara, hizmeti kesintiye uğratan veya hemen kesintiye neden olmasalar bile hizmetlerinde yüksek risk veya etkiye sahip olabilecek daha geniş bir dizi olayı bildirmesi gerektiğini söyledi.

Haberin tamamı için linke tıklayınız.

8. Alman raporu, Microsoft 365’in AB GDPR uyumluluğu noktasındaki sorunları ayrıntılarıyla anlatıyor.

TechCrunch'ın haberine göre, Alman Veri Koruma yetkililerinden oluşan bir çalışma grubu tarafından yapılan değerlendirmede, Microsoft'un bulut tabanlı 365 ürünlerinin GDPR ile uyumlu olarak kullanılamayacağı tespit edildi. Grup, son iki yıldır Microsoft 365 ürünleriyle ilgili gizlilik endişelerini araştırdıktan sonra, şirketin gündeme getirilen uyumluluk sorunlarından hiçbirini düzeltmediğini fark etti. Microsoft ise ürünlerinin "gizlilik ve veri güvenliğinin korunması için en yüksek endüstri standartlarını karşıladığını" ifade etti. İrlanda Veri Koruma Komisyonu, şirketle ilgili açık soruşturma olmadığını söyledi.

Haberin tamamı için linke tıklayınız.

9. Avustralya Parlamentosu’ndan “Gizlilik Mevzuatı Yasa Değişikliği Tasarısı 2022” geçti.

Avustralya Parlamentosu, “Gizlilik Mevzuatı Yasa Değişikliği Tasarısı 2022” 'nin nihai geçişini onayladı. Yasa tasarısı, yeni bir üç faktörlü ceza planı kapsamında veri ihlali cezalarını 50 milyon Avustralya Doları'na yükseltilmesi veya veriden kazanılan yarara göre ceza verilmesi veyahut düzeltilmiş üç aylık cironun %30'una dayalı ceza verilmesi amacıyla 1988 tarihli Gizlilik Yasası’nı değiştiriyor. Avustralya Bilgi Komiseri ve Gizlilik Komiseri Angelene Falk, değişikliklerin GDPR kapsamında "rekabet ve tüketici çözümleri ile daha yakın uyum" yarattığını belirtti. Ayrıca Angelene Falk, değişikliğin "düzenleyici rollerini verimli ve etkili bir şekilde yerine getirmelerine yardımcı olmak adına yerel düzenleyiciler ve uluslararası otoriteler ile işbirliği kurmalarını kolaylaştıracağını" ifade etti.

Haberin tamamı için linke tıklayınız.

10. ABD Sağlık ve İnsan Hizmetleri Bakanlığı Medeni Haklar Ofisi (“Medeni Haklar Ofisi”), izleme teknolojisini kullanan kuruluşlar için bildiri yayınladı.

Medeni Haklar Ofisi, Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası kapsamında izleme teknolojisi kullanan kuruluşlar ve iş ortakları için bir bildiri yayınladı. Medeni Haklar Ofisi, düzenlemeye tabi bazı kuruluşların elektronik korumalı sağlık bilgilerini genellikle "HIPAA Gizlilik, Güvenlik ve İhlal Bildirimi Kuralları"nı ihlal edecek şekilde çevrimiçi izleme sağlayıcılarıyla paylaştığını ifade etti.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

22/11/2022

Avrupa Veri Koruma Denetçisi, AB çapındaki siber güvenlik gereklilikleri hakkında görüş bildirdi.

Avrupa Veri Koruma Denetçisi Wojciech Wiewiórowski, Avrupa Birliği (“AB”) çapında güvenlik ve veri minimizasyonu ilkeleri de dahil olmak üzere, siber güvenlik gerekliliklerinde önerilen düzenlemeyi memnuniyetle karşıladı. Wiewiórowski, AB genelinde uyumlaştırılmış siber güvenlik gerekliliklerinin, Avrupa vatandaşlarının siber saldırı mağduru olma risklerini ve kişisel verilerinin çalınması ve kötüye kullanılması gibi hususların yol açabileceği büyük sonuçların azaltması gerektiğini dile getirdi. Veri sorumluları ve veri işleyenler tarafından AB Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında kişisel verilerin işlenmesinde uygun güvenliğin sağlaması gerektiğini belirtti.

Haberin tamamı için linke tıklayınız.

Rus scooter paylaşım hizmeti hacklendi.

DataBreaches.net’in haberine göre, Rus scooter paylaşım hizmeti Whoosh tarafından 7.2 milyon kişiye ait kişisel verileri içeren veritabanının hacklendiği bildirildi. Whoosh, 40 adet Rus şehrinde faaliyet göstermekte ve bölge sakinlerinin kentsel ulaşım ihtiyaçları için 75.000’den fazla scooter sunmaktadır. Bir hacker tarafından çevrimiçi bir forumda, çalınan verilerin ücretsiz hizmetler için müşteri kimlik tanımlama ve ödeme bilgilerini içeren promosyon kodları şeklinde satılmaya başlandığı bildirildi.

Haberin tamamı için linke tıklayınız.

Hollanda Veri Koruma Otoritesi, bulut depolama süreçlerinin gizlilik riskleri içerdiğini söyledi.

Hollanda Veri Koruma Otoritesi Autoriteit Persoonsgegevens, hükümet verilerini ticari bulut hizmetlerinde depolamanın büyük gizlilik riskleri içerdiğini söyledi. Otorite başkanı Aleid Wolfsen, “Hangi risklerin olduğunu doğru bir şekilde araştırmazsanız, bu riskleri ortadan kaldıracak önlemler alamazsınız” şeklinde açıklamada bulunarak, kişisel verilerin Avrupa dışındaki ülkelerde saklanmasına ve dolayısıyla GDPR kapsamı dışında tutulmasına özellikle dikkat edilmesi çağrısında bulundu.

Haberin tamamı için linke tıklayınız.

Çocukların mahremiyetine ilişkin düzenleme 2022’de ABD Kongresi’nde kabul edilebilir.

Axios’un haberine göre; avukatlar ve kanun koyucular, çocukların çevrimiçi verilerini korumaya yönelik tekliflerin yıl sonu savunma paketlerine dahil edilebileceğini açıkladı. ABD Senato yönetimi, “Çocukların Çevrimiçi Güvenliği Yasası” ve “Çocukların ve Gençlerin Çevrimiçi Gizliliğini Koruma Yasası” olmak üzere iki yasa tasarısı önerisi sunuyor. Ticaret Senato Komitesi, Bilim ve Ulaştırma İletişim Direktörü Tricia Enright, Washington demokrat senatörü Maria Cantwell’in Kongre’de kalan kısa süresi içerisinde çocukların çevrimiçi mahremiyetinin kabul edilmesine yönelik her türlü çabayı desteklediğini ifade etti.

Haberin tamamı için linke tıklayınız.

Tüketici Raporları İnovasyon Laboratuvarı, Veri Hakları Protokolü için bir mobil uygulama geliştiriyor.

Tüketici Raporları İnovasyon Laboratuvarı, şirketlerin tüketici gizliliği yasalarına uymalarını kolaylaştırmak amacıyla veri hakları taleplerinin paylaşımına yönelik açık bir standart olan Veri Hakları Protokolü için bir test uygulaması başlatıyor. Baş Mühendis John Szinger, OSIRAA v0.5 adlı uygulamanın GitHub’da mevcut olduğunu ve uygulamanın “protokolü uygulamak isteyen yetkili temsilci ve gizlilik altyapısı sağlayıcısı şirketler” tarafından kullanılabileceğini söyledi. Szinger, OSIRAA ile şirketlerin “protokole karşı kendi başlarına test yapabileceklerini ve uygulamalarını gerektiği gibi geliştirebileceklerini” açıkladı.

Haberin tamamı için linke tıklayınız.

ABD tıbbi talep işlemcisi CorrectCare Entegre Sağlık Hizmetleri ihlale uğradı.

GovInfoSecurity’nin haberine göre, Kentucky’de ABD hapishaneleri ve cezaevleri için tıbbi talepleri işleyen firma sunucusunun “yanlış yapılandırılması” nedeniyle yaklaşık 600 bin mahkumun gizli bilgileri ifşa edildi. CorrectCare Entegre Sağlık Hizmetleri, yanlış yapılandırma nedeniyle ABD Sağlık ve İnsani Hizmetler Bakanlığına en az üç “yetkisiz erişim/ifşa” ihlali bildirdi. Son 10 yıl içinde cezaevindeyken tıbbi bakım alan mahkumları etkileyen ihlal, kişisel olarak tanımlanabilir bilgileri içermekteydi.

Haberin tamamı için linke tıklayınız.

Davalar, Apple ve Meta’nın verileri izinsiz topladığını iddia ediyor; Meta, İrlanda Veri Koruma Otorite’sinin para cezasını bozulmasını istiyor.

MediaPost’un haberine göre, New York’ta ikamet eden bir kişi, ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesinde Apple’a karşı bir toplu dava açtı. Davacı Elliot Libman, şirketin “iPhone kullanıcılarının uygulamalarıyla etkileşimleri hakkında, kullanıcılar veri toplamayı devre dışı bırakmaya çalışsalar bile veri topladığını” iddia etti. Bu arada, GovInfoSecurity’nin haberine göre, ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesi Yargıç William Orrick, Meta’nın hasta verilerini onların rızası olmadan topladığına dair şüphelerini dile getirdi.

Irish Examiner’ın haberine göre; Meta, İrlanda Yüksek Mahkemesi’nin Instagram’da çocukların mahremiyetini ihlal ettiği bildirilen 405 milyon euroluk cezayı “bozmasını” umuyor. Meta’nın bu hamlesi, İrlanda Veri Koruma Otoritesi’nin, genç Instagram kullanıcılarının kişisel olarak tanımlanabilir bilgilerinin, o zamandan beri düzeltilmiş olan varsayılan ayarlar altında otomatik olarak yayınlanmasının ardından Eylül ayında Meta’ya para cezası vermesinden sonra geldi. Reuters’ın haberine göre, bir ABD Kuzey Kaliforniya Bölge Mahkemesi yargıcının, Facebook’un, platformdan çıkış yaptıktan sonra da kullanıcıları takip ettiği iddialarına karşı Meta’ya açılan 90 milyon dolarlık bir anlaşmayı kabul ettiğini bildirdi.

Haberin tamamı için linke tıklayınız.

Kanunkoyucular, Twitter soruşturmasını teşvik ediyor, veri ve gizlilik korumaları hakkında cevaplar arıyor.

Yedi ABD senatörü, Twitter’ın 2011 yılında ABD Federal Ticaret Komisyonu ile yaptığı rıza kararnamesinin “herhangi bir ihlali” veya “tüketiciyi koruma yasalarının diğer ihlalleri” hakkında soruşturma açılması çağrısında bulundu. FTC Başkanı Lina Khan’a ilettikleri bir mektupta senatörler, platformun yeni doğrulama hizmetleri ve kilit gizlilik yöneticilerinin yakın zamanda ayrılmasıyla ilgili endişelerini dile getirdiler. Komisyondan, “uygun olduğunda Twitter yöneticilerine bireysel para cezası verilmesi ve sorumluluk yüklenmesi dahil olmak üzere, herhangi bir ihlale veya iş uygulamasına karşı yaptırım eylemleri başlatması” çağrısında bulundular.

Politico’nun haberine göre, Demokratik ABD milletvekilleri Elon Musk’ın platformu satın almasının ardından Twitter’daki verileri ve gizliliği nasıl koruduğunu sorguladı. ABD Temsilcisi Jan Schakowsky, D-Ill., Musk’ın FTC ile “Twitter’ın açık bir şekilde tüketici verilerini korumayı taahhüt ettiği” 2011 rıza kararnamesinin ihlal edilmesine yönelik “bilinçli kararından” sorumlu tutulması gerektiğini söyledi. Senatör Ed Markey, D-Mass, FTC’nin Twitter’ın “yasalar ve düzenleyici kurumlarla yapılan anlaşmalar kapsamındaki sorumluluklarını” yerine getirmesini sağlamakla yükümlü olduğunu söyledi.

Haberin tamamı için linke tıklayınız.

Taşımacılık sektörü, üçüncü çeyrekte fidye yazılımı için en çok hedef alınan ikinci sektör oldu.

The Economic Times of India’nın haberine göre, taşımacılık sektörü 2022’nin üçüncü çeyreğinde fidye yazılımları ve “ulus-devlet destekli gelişmiş kalıcı tehdit” aktörleri için dünyada en çok hedeflenen ikinci sektör oldu. Siber güvenlik firması Trellix’in üç aylık “Tehdit Raporu”na göre, ABD’de fidye yazılımı saldırıları taşımacılık ve nakliye sektörlerinde bir önceki çeyreğe göre %100 artarken, Almanya’da ise taşımacılık sektöründe %32 ve nakliye sektöründe %29 ile fidye yazılımı ve gelişmiş kalıcı tehdit saldırılarında en yüksek artış görüldü.

Haberin tamamı için linke tıklayınız.

Hindistan, 2022 Dijital Kişisel Verileri Koruma Yasası’nı teklif etti.

Hindistan Elektronik ve Bilgi Teknolojileri Bakanlığı yeni gizlilik mevzuatı olan Dijital Kişisel Verileri Koruma Yasası teklifinde bulundu. Yasa taslağı; bireylerin haklarını ve kişisel verilerin hukuka uygun amaçlarla işlenmesi gerekliliğini ayırt ederek, kişisel verilerin işlenmesini sağlamayı amaçlıyor. Söz konusu taslak ile, bildirilmiş belirli ülkeler ve bölgeler ile sınır ötesi veri aktarımlarına izin verilmekte, ayrıca uyumluluğu denetlemek ve 5 milyar Rupiye varan cezalar uygulamak için bir Veri Koruma Kurulu kurulmaktadır. Bakanlık, 17 Aralık’a kadar yasa taslağı hakkında halkın geri bildirimini memnuniyetle karşılayacağını ifade etti.Haberin tamamı için linke tıklayınız.

21/09/2022 TARİHLİ VE 2019/25604 BAŞVURU NUMARALI ANAYASA MAHKEMESİ KARARI

15/11/2022

FIRAT GERÇEK BAŞVURUSU

BAŞVURU KONUSU

Başvuru, özel bir şirkette çalışan başvurucunun bir iş arkadaşı ile yaptığı cep telefonu yazışmalarının, işveren tarafından incelenmesi ve bu yazışmalar gerekçe gösterilerek iş akdinin feshedilmesi nedeniyle özel hayata saygı hakkı ile haberleşme hürriyetinin ihlal edildiği iddialarına ilişkindir.

OLAY VE BULGULAR

Özel bir şirket çalışanı olan başvurucunun, aynı işyerinde çalışan başka bir kişiye verilen cep telefonunun incelenmesi sonucu elde edilen mesaj içerikleri feshin gerekçesi olarak sayılarak iş sözleşmesinin işveren tarafından feshedilmiştir.

Başvurucu; iş akdinin haksız feshedildiğini, feshe dayanak yapılan mesajlaşma içeriklerinin bir suretinin fesih bildirimine eklenmediğini, yazışmaların hayal ürünü olduğunu, şirketin verdiği telefon hatlarının çalışanların özel hayatlarında da kullanıldığını, bu yazışmaların kişisel veri olarak korunması gerektiğini ifade ederek işe iade istemiyle dava açmıştır.

Şirket vekili davaya cevabında, işten ayrılan başka bir şirket çalışanına iş amacıyla tahsis edilen cep telefonunun müşterilerin iletişim bilgilerine ulaşmak için incelendiğini fakat feshe dayanak yapılan içeriklere ulaşıldığını vurgulamıştır. Anılan mesaj içeriklerinde şirket çalışanları hakkında rahatsız edici, şirket çalışanlarının görev ve sorumluluklarını yerine getirmekten imtina ettiklerine dair hakaret içeren ifadeler olduğu belirtilmiştir.

Mahkeme gerekçe olarak iki çalışanın yazışmalarının haklı fesih sebebi teşkil edeceği, cep telefonunun işveren tarafından verilmesi nedeniyle anılan yazışmaların hukuka uygun olarak elde edildiğinin kabulünün gerektiğini vurgulayarak davanın reddine karar vermiştir.

Başvurucu vekilinin istinaf başvurusu kabul edilmiş ve davanın reddine kesin olarak karar vermiştir. Gerekçe olarak; İşverence düzenlenen “İletişim Araçları Politikası” başlıklı belgede “şirkete ait iletişim araçları (bilgisayar, telefon, GSM hat ve diğer) sadece görev nedeniyle ve iş amaçlı olarak kullanılması gerektiği, özel amaçlı haberleşme ve işler için kullanılmaması gerektiği” hususlarının belirtildiği vurgulanmıştır. Bu durumda personelin bu telefon ile özel amaçlı haberleşmesinin yasaklandığı belirtilmiştir.

İstinaf mahkeme kararında, geçerli nedenle iş akdinin feshedildiği kabul edilmesi gerekirken feshin haklı nedenle yapıldığı yönündeki gerekçenin hatalı olduğunu ifade edilmiştir.

İNCELEME VE GEREKÇE

Anayasa Mahkemesi tarafından,

Olayın koşullarına göre, iş sözleşmelerinde kısıtlayıcı ve zorlayıcı düzenlemelerin ne şekilde belirlendiği, tarafların bu düzenlemeler hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile ölçülü olup olmadığı hususlarının uyuşmazlığın çözümünde gözetilmesi gerektiğini tespit edilmiştir.

İşveren ve çalışan arasındaki ilişkinin iki taraf açısından da belirli hak ve yükümlülükler öngören ve esasen güven ilişkisi üzerine kurulu iş sözleşmesiyle şekillendiği belirtilmiştir.

İşyerinde kullanıma sunulan iletişim araçlarının verimliliği ölçmek ve güvenlik endişeleri gibi haklı ve meşru nedenlerle işverenin yönetim yetkisi kapsamında denetlenebileceği söylenebilecek olsa da; iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle işverenin iletişim araçlarında üzerinde sınırsız ve mutlak bir gözetleme ve denetleme yetkisinin olmadığı ifade edilmiştir.

“İletişim Araçları Politikası” başlıklı, genel bir düzenleme içerdiği anlaşılan belgede işçiye verilen iletişim araçlarının inceleme ve denetleme yetkisini, kullanım sınırlarını ve bu sınırların aşılması durumuna bağlı yaptırımın açıkça düzenlenip düzenlenmediği ve anılan belgenin işçilere aydınlatma yükümlülüğü kapsamında bildirilip bildirilmediği hususlarına yer verilmediği belirtilmiştir.

Mahkemece bir başkasına ait cep telefonunda yer alan yazışmaların ne suretle denetlendiğine, mesaj içeriklerinin feshe dayanarak alınmasının gerekli olup olmadığına ve başvurucunun özel hayatı ile haberleşmesine olan etkisine yönelik herhangi bir herhangi bir değerlendirme yapılmadığına dikkat çekmiştir.

HÜKÜM

1. Özel hayata saygı hakkı ile haberleşme hürriyetinin ihlal edildiğine ilişkin iddianın kabul edilebilir olduğuna,

2. Anayasa’nın 20. maddesinde güvence altına alınan özel hayata saygı hakkı ve Anayasa’nın 22. maddesinde güvence altına alınan haberleşme hürriyetinin ihlal edildiğine,

3. Yeniden yargılama yapılmak üzere kararın bir örneğinin İstanbul Anadolu 7.İş Mahkemesine gönderilmesine karar verilmiştir.

Karara link aracılığı ile ulaşabilirsiniz.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

15/11/2022

1. Avrupa Parlamentosu NIS2 Direktifini onayladı.

Avrupa Parlamentosu, Avrupa Birliği Ağ ve Bilgi Güvenliği Direktifine dayalı modernize edilmiş bir çerçeve olan NIS2 Direktifini 577’ye karşı 6 oyla onayladı. Parlamento, direktifin özel ve birçok kamu kuruluşu için “olaylara müdahale, tedarik zinciri güvenliği, şifreleme ve güvenlik açığı ifşası” ile ilgili yeni hükümler ve artan yükümlülükler getirdiğini açıkladı. Avrupa Parlamentosunun Hollandalı Üyesi Bart Groothuis, “Fidye yazılımları ve diğer siber tehditler Avrupa’yı çok uzun zamandır avlıyor. İşletmelerimizi, hükümetlerimizi ve toplumumuzu düşmanca siber operasyonlara karşı daha dirençli hale getirmek için harekete geçmeliyiz.” şeklinde açıklamalarda bulundu. Mevzuat şu an için Avrupa Birliği Konseyi’nin onayını bekliyor.

Haberin tamamı için linke tıklayınız.

2. Avustralya Veri Koruma Otoritesi (“OAIC”), 2022’nin ilk yarısı için ‘Bildirilebilir Veri İhlalleri Raporu’ yayınladı.

Avustralya Veri Koruma Otoritesi (“OAIC”) 10 Kasım’da “bildirilebilir veri ihlalleri raporunu”nun son halini yayınladı. Rapora göre, Ocak ve Haziran ayları arasında OAIC’ye bildirilen 396 veri ihlali oldu ve bu sayı 2021 Temmuz-Aralık dönemine göre %14’lük bir düşüş gösterdi. Raporda, gerçekleşen ihlallerin 162’sinin yani oransal bir ifadeyle %41’inin “siber güvenlik olaylarından kaynaklandığı” belirtildi. Gerçekleşen 24 ihlalin 5 bin veya daha fazla Avustralya vatandaşını, 4 ihlalin ise 100 bin veya daha fazla vatandaşı etkilediği tespit edildi.

Haberin tamamı için linke tıklayınız.

3. Colorado Başsavcısı, Colorado Gizlilik Yasası (“CPA”) düzenlemeleri hakkında kamuya açık yorumlar yayınladı.

Colorado Başsavcılığı, önerilen taslak Colorado Gizlilik Yasası (“CPA”) hakkında, paydaşlardan Mart ayından 8 Kasım’a kadar alınan herkese açık 61 tane yorum yayınladı. Önerilen CPA taslak kuralları 10 Ekim’de yayınlandı ve 1 Şubat 2023 için bir duruşma planlandı. Ayrıca 10, 15 ve 17 Kasım tarihlerinde üç sanal paydaş oturumu planlanıyor. Başsavcılık, oturumların “CPA’nın uygulanmasına yönelik kuralların geliştirilmesi için geniş bir paydaş yelpazesinden geri bildirim toplamak” adına yapılan bir forum olduğunu söyledi.

Haberin tamamı için linke tıklayınız.

4. Fransa Veri Koruma Otoritesi (“CNIL”), Dünya Kupası katılımcılarının “kullan-at telefon” kullanmasını tavsiye ediyor.

Politico’nun haberine göre CNIL, Katar’da yapılacak olan Dünya Kupası ziyaretçilerini “kullan-at telefon” kullanmaları konusunda uyardı. Katar, araştırmacıların casus yazılım içerdiğini belirttiği; biri COVID-19 izleme uygulaması, diğeri Dünya Kupası resmi mobil uygulaması olmak üzere iki mobil izleme uygulaması geliştirdi. Bir CNIL yetkilisi, kişisel cihazlardaki içeriğin yerel yasalara aykırı olmaması için ziyaretçilerin boş bir akıllı telefon veya sıfırlanmış eski bir telefon kullanmasını tavsiye etti.

Haberin tamamı için linke tıklayınız.

5. Shangri-La Otel veri ihlaline uğradı, Medibank verileri DarkWeb’te yayınlandı.

ZDNet’in haberine göre, yaşanan bir veri ihlali olayı, yabancı hükümet delegelerinin Haziran ayında savunma zirvesine katıldığı bir Singapur oteli de dahil olmak üzere sekiz Shangri-La otelini etkiledi. Otel zinciri, delegelerin ihlalden etkilenme olasılığının düşük olduğunu belirtti. Hong Kong Veri Koruma Otoritesi, 290 binden fazla Hong Kong müşterisinin kişisel verilerinin ifşa edilmiş olabileceğini ifade etti.

Guardian’ın haberine göre, Medibank müşterilerinin isimleri, adresleri, doğum tarihleri ve Medicare numaraları da dahil olmak üzere çeşitli kişisel verileri, Rus fidye yazılımı grubu REvil ile bağlantılı bir blogda yayınlandı. İhlal, Avustralya sağlık sigortası şirketinin 9.7 milyon mevcut ve eski müşterisini etkiledi.

The New Daily’nin haberine göre, Virgin Avustralya Hava Yolları şirketinin sık uçan yaklaşık 3 bin müşterisi, Medibank ihlalinden etkilendi. Şirket sözcüsü, ihladen etkilenen yolcuların hesaplarının kilitlendiğini ve bu üyeler için yeni üyelik numaraları oluşturulduğunu söyledi.

Haberin tamamı için linke tıklayınız.

6. Tanzanya Parlamentosu, Kişisel Verilerin Korunması Yasa Tasarısı’nı onayladı.

Daily News in Tanzania’nın haberine göre, Tanzanya Parlamentosu geçtiğimiz günlerde 2022 Kişisel Verilerin Korunması Yasası’nı oybirliğiyle kabul etti. Bilgi, İletişim ve Bilgi Teknolojileri Bakanı Nape Nnauye, Cumhurbaşkanı Samia Suluhu Hassan’ın yasayı imzalaması halinde bir “yatırımcı seli” beklediğini açıkladı. Tasarı, kişisel verilerin ihlal edilmesi halinde para cezası verme ve kişisel verilerin işlenmesi konusunda politikalar ve prosedürler belirleme yetkisine sahip olacak Kişisel Verilerin Korunması Komisyonu’nun kurulmasını düzenliyor.

Haberin tamamı için linke tıklayınız.

7. Kaliforniya Çocuk Yasası, teknoloji şirketlerini güçlü gizlilik korumalarını kullanmaya zorlayabilir.

Government Technology haberine göre, Kaliforniya Yaşa Uygun Tasarım Kodu Yasası (California Age-Appropriate Design Code Act) ABD genelinde reşit olmayanlar için daha fazla gizlilik koruması sağlanmasına öncülük edebilir. 2024 yılında yürürlüğe girecek olan yasa, “teknoloji şirketleri tarafından farklı konumdaki kullanıcılara farklı kurallar uygulanmasını zorlaştırabilir” ve söz konusu şirketleri ilgili otoriteler tarafından daha güçlü korumalar almaya zorlayabilir. Teknoloji endüstri grupları, web sitelerinin “çocuk kullanıcıların yaşını makul bir kesinlik düzeyiyle tahmin etmesini” zorunlu kılmak gibi belirli hükümlerin “fazla muğlak” olması sebebiyle hala yasaya itiraz edebilir, ki bu hükümler teknoloji şirketlerinin şimdikinden daha fazla kişisel veri topladığı bir senaryo yaratabilir.

Haberin tamamı için linke tıklayınız.

8. Birleşik Krallık gizlilik avukatı, yüz tanıma veritabanı ile ilgili İngiltere Veri Koruma Otoritesi (“ICO”)’ne şikayette bulundu.

BBC News haberine göre, gizlilik avukatlığı grubu Big Brother Watch tarafından bir yüz tanıma görüntü veritabanıyla ilgili ICO’ya şikayette bulunuldu. Söylentilere göre söz konusu veritabanı PimEyes’in kullanıcılara, yüz görüntülerinin internette aranmasına izin verdiği bildiriliyor. Big Brother Watch tarafından ICO’ya yapılan şikayette, PimEyes’in önceden düşünülemez bir ölçekte gözetleme ve takip etmeyi mümkün kıldığı belirtildi. PimEyes CEO’su Giorgi Gobronidze, veritabanının sosyal medya hizmetleri kadar fazla bir takip riski oluşturmadığını belirtti.

Haberin tamamı için linke tıklayınız.

9. ICO, Bilgi Edinme Özgürlüğü (“FOI”) şikayeti önceliklendirme konusunda istişare başlattı.

ICO, düzenleyicinin bilgi edinme özgürlüğü şikayetlerine nasıl öncelik verildiği konusunda bir kamu istişaresi duyurdu. ICO, işbu istişarenin “sınırlı finansman, ICO’ya taşınan FOI vakalarının ve gergin kamu otoritelerini destekleme ihtiyacının artması” hususlarının birlikte “kusursuz bir fırtına” yaratmasının teşvik edildiğini belirtti. Düzenleyici, ana hatlarıyla belirtilen önceliklendirme kriterleri kapsamında yeni planın, açık bir şekilde kamu menfaatinin olduğu bilgilere ilişkin şikayetleri dikkate alacağını açıkladı. Kamuoyu yorumları 19 Aralık’ta sona erecek.

Haberin tamamı için linke tıklayınız.

10. Microsoft, Dijital Savunma Raporu’nu yayınladı.

Microsoft, gelişen dijital tehdit ortamı ve müşterilerin riskleri yönetmek amaçlı gerçekleştirebilecekleri eylemler hakkında içgörülere değinen 2022 yılı Dijital Savunma Raporu’nu yayınladı. Müşteri Güvenliği ve Güveni Kurumsal Başkan Yardımcısı Tom Burt tarafından yönetici özetinde, “Dünya çapındaki ürün ve hizmet ekosistemimizden analiz ettiğimiz trilyonlarca sinyal, dünya genelindeki dijital tehditlerin vahşetini, kapsamını ve ölçeğini ortaya koyuyor. Microsoft, müşterilerimizi ve dijital ekosistemi bu tehditlere karşı savunmak için harekete geçiyor” açıklamalarına yer verildi.

Haberin tamamı için linke tıklayınız.

Hırvatistan Veri Koruma Otoritesi İncelemeler neticesinde, ceket giyerek kamufle olmuş ve koruyucu maske takmış bir kişinin fotoğrafına bakılarak kimlik belirlemesi yapmanın mümkün olmadığı sonucuna varılmıştır.

14/11/2022

Hırvat Veri Koruma Otoritesi’ne, müşterisinin satış ilanı verilen bir daireyi görüntülerken çekilmiş fotoğraflarını rızası ve bilgisi olmadan internet sitesinde yayınladığı gerekçesiyle bir emlak ofisi aleyhine şikayette bulunulmuştur.

Yapılan incelemeler neticesinde, ceket giyerek kamufle olmuş ve koruyucu maske takmış bir kişinin fotoğrafına bakılarak kimlik belirlemesi yapmanın mümkün olmadığı sonucuna varılmıştır.

Bu sebeple, ilgili şikayetin sadece satılık bir mülkün fotoğrafını yayınlamakla ilgili olduğuna, söz konusu fotoğrafın GDPR 4/1. maddesi uyarınca kişisel veri olarak nitelendirilemeyeceğine ve veri sorumlusunun fotoğrafı silme yükümlülüğü bulunmadığına hükmedilmiştir.

Karar metninin linkine buradan ulaşabilirsiniz.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

09/11/2022

1. Ukrayna’da veri koruma yasası taslağı sunuldu.

Ukrayna Parlamentosu’na veri koruma yasası taslağı sunuldu. Teklif, biyometrik veriler dahil olmak üzere farklı veri türlerinin işlenmesi hakkında veri işleme faaliyetlerine ilişkin düzenlemeler içeriyor. Mevcut mevzuatın “kişisel verilerin korunması alanında uluslararası standartların gelişimi doğrultusunda Ukrayna’da yeterli korumayı sağlayamaması” nedeniyle, taslağın gerekli olduğuna dair açıklamalar yapıldı.

Haberin tamamı için linke tıklayınız.

2. Avrupa Birliği Dijital Piyasalar Yasası yürürlüğe giriyor.

Avrupa Birliği Dijital Piyasalar Yasası (“DMA”) yürürlüğe girdi. Avrupa Komisyonu düzenlemenin, “çevrimiçi platform ekonomisinde kapı bekçisi olarak hareket eden şirketlerin haksız uygulamalarına son vermeyi” hedeflediğini belirtti. DMA, nitelikli büyük çevrimiçi platformları “kapı bekçileri” olarak tanımlıyor ve “adil ve açık dijital pazarlar sağlamak” için platformların uygulamak zorunda oldukları “yapılması ve yapılmaması gerekenler” listesini oluşturuyor. DMA’nın hükümleri, 2 Mayıs 2023’ten itibaren uygulanmaya başlanacak.

Haberin tamamı için linke tıklayınız.

3. İtalya Gelir İdaresi, yapay zekayı “çığır açıcı” olarak ifade etti.

Bloomberg’in haberine göre, İtalya Gelir İdaresi Genel Müdür Yardımcısı Paolo Valerio Barbantini, vergi mükellefi tutarsızlıklarını belirleyen yapay zeka kullanımı hakkında, “gerçek bir çığır açıcı olduğunun kanıtı” ifadelerini kullandı. VeRa algoritması, yüksek riskli vergi mükelleflerini belirlemek için vergi beyannamelerini, kazançları, mülk kayıtlarını ve diğer verileri karşılaştırıyor. Devlet yetkilileri tarafından, kamu yararına yürütülen görevlerde veri işlenmesi söz konusuysa Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uyulması gerektiği belirtildi.

Haberin tamamı için linke tıklayınız.

4. Avustralya emlak franchise’ı veri ihlaline uğradı.

Gizmodo’nun haberine göre, Avustralya emlak grubu Harcourts’un Melbourne franchise’ı veri ihlaline uğradı. Şirket, franchise sahibinin 24 Ekim’de kiralık mülk veritabanına yetkisiz bir üçüncü şahıs tarafından erişildiğini öğrendiğini doğruladı. Harcourts Avustralya CEO’su Adrian Knowles, kiracıların kişisel kimlik bilgilerinin ve banka bilgilerinin bilgisayar korsanları tarafından “potansiyel olarak görünür” olduğunu söyledi. Şirket, ihlalden etkilenen bireylere ücretsiz kredi hareketlerini görüntüleme ve kimlik hırsızlığı koruması hizmeti sunacak. Avustralya Bilgi Komiserliği Ofisi ihlalden haberdar edildi.

Haberin tamamı için linke tıklayınız.

5. Vodafone İtalya’nın müşteri verileri ihlale uğradı; İlaç üreticisi, dahili sunucu kimlik bilgilerini ifşa etti.

Bleeping Computer haberine göre, Vodafone İtalya, ticari bir iş ortağının müşterilerin kişisel olarak tanımlanabilir bilgilerini açığa çıkaran bir veri ihlaline maruz kaldığını duyurdu. Vodafone’un iş ortağı FourB, siber saldırıya Eylül ayında maruz kaldı. Vodafone İtalya, kullanıcı şifreleri ve kapsama alanı tehlikeye girmezken, müşterilerin kimlik avı saldırılarında hedef alınma riskinin daha yüksek olduğunu söyledi.

TechCrunch’ın haberine göre, ilaç üreticisi AstraZeneca 2021’de bir bulut ortamını test ederken bazı hasta verilerini açıkta bıraktı. Bir siber güvenlik uzmanı, bir şirket geliştiricisinin hastalara ilaç indirimleri sunan dahili uygulamalara ilişkin veriler içeren bir AZ&ME dahili sunucusu olan GitHit’te için kimlik bilgileri de ifşa ettiğini tespit etti.

Haberin tamamı için linke tıklayınız.

6. ICO, Kabine Ofisi’nin 2020 veri ihlalinde aldığı cezayı azalttı.

İngiltere Veri Koruma Otoritesi (“ICO”), Ocak 2020’deki veri ihlali nedeniyle Birleşik Krallık Kabine Ofisi’ne karşı verilen para cezasında indirime gidildiğini duyurdu. Başlangıçta verilmiş olan 500.000 İngiliz Sterlini para cezası, Kabine Ofisi tarafından yapılan bir itiraz sonrasında yapılan karşılıklı anlaşnın ardından 50.000 İngiliz Sterlini’ne düşürüldü. Orijinal ceza, 1.000’den fazla kişinin adlarına ve açık adreslerine erişilmesine neden olan yetersiz güvenlik önlemleriyle ilgiliydi. İngiltere Bilgi Komiseri John Edwards, cezaların “her koşulda orantılı” olduğunu, ancak bazı durumlarda “caydırıcılığa ulaşmak için para cezalarının daha az etkili olabileceğini” de sözlerine ekledi.

Haberin tamamı için linke tıklayınız.

7. Birleşik Krallık Kişisel Veri Yasa Tasarısı’nda yeni bir kamu istişare süreci başladı.

Tech Monitor, Birleşik Krallık Veri Koruma ve Dijital Bilgi Yasa Tasarısı’nın, önümüzdeki haftalarda yeniden kamu görüşüne sunulması nedeniyle gecikmelerle karşı karşıya kalacağını bildirdi. Tasarı’nın, GDPR’ın yerine geçmesi planlanıyor. Kültür, Medya ve Spor Dairesi’nde Ulusal Veri Koruma Politikası’ndan sorumlu Direktör Yardımcısı Owen Rowland tarafından, İngiltere’nin AB ile olan veri yeterliliği anlaşmasının “ilerleme gösterilirken benimsenilen yaklaşımın merkezinde yer aldığı” ve ayrıca kişisel veri haklarının da yasa tasarısı tamamlandığında ana öğe olacağı ifade edildi.

Haberin tamamı için linke tıklayınız.

8. Royal Mail müşterilerinin verileri diğer kullanıcılara sızdırıldı.

Tech Monitor, Royal Mail’e ait Tıkla ve Bırak hizmetine ilişkin gerçekleşen ihlal ile müşterilerin kargo paketi verilerinin diğer kullanıcılara sızdırıldığını bildirdi. Müşteriler, Royal Mail tarafından “teknik bir sorun” olarak tanımlanan sorun nedeniyle diğer kullanıcılara ait siparişleri, sipariş geçmişini ve müşteri ayrıntılarını gördüklerini bildirdi. ICO, ihlale ilişkin henüz bildirim yapılmadığını belirtti. Bir ICO sözcüsü tarafından, ihlalin insanların hak ve özgürlükleri üzerinde bir risk oluşturmadığı takdirde ihlali tespit eden kuruluşun 72 saat içinde bildirim yapabileceği belirtildi.

Haberin tamamı için linke tıklayınız.

9. Eski başbakanın telefonu yabancı ajanlar tarafından ele geçirildi.

Daily Mail’in haberine göre, Dışişleri Bakanı olarak görev yaptığı sırada eski İngiltere Başbakanı Liz Truss’a ait kişisel cep telefonu, şüpheli yabancı ajanlar tarafından ele geçirildi. Uluslararası üst düzey dışişleri bakanları ile yapılan hassas görüşmeler de dahil olmak üzere bir yıllık mesajlara erişildi. Gölge İçişleri Bakanı Yvette Cooper, son derece ciddi olan bu ihlalin, İngiltere’ye zarar verebilecek ülkelerden gelen tehditlerin ciddiyetini ve siber güvenliğin neden Hükümetteki herkes tarafından bu kadar ciddiye alınması gerektiğini gösterdiğini belirtti.

Haberin tamamı için linke tıklayınız.

10. Gizlilik grupları, çevrimiçi yaş doğrulaması yapılan kimliklerin “müdahaleci” ve “riskli” olduğunu söylüyor.

Guardian’ın haberine göre Avustralya hükümeti, gizlilik grupları tarafından herhangi bir çevrimiçi yaş doğrulama sisteminde kimlik talep etmemeye çağırılıyor. Yaş doğrulama seçenekleri, reşit olmayanların çevrimiçi olarak yetişkinlere uygun içeriğe erişmesini önlemek için ele alınmakta olup, bazı seçenekler gizlilik ve güvenlik endişelerini artırmaktadır. Digital Rights Watch Lideri Samantha Floreani tarafından, “yaş doğrulamasının müdahalecilik ve riskliliğin korkunç bir birleşimi olmasının yanı sıra, iddia edilen amaç için etkisiz olduğu” belirtilerek “böyle bir sistemin veri ihlaline uğraması sonuçlarının yıkıcı olacağı” dile getirildi.

Haberin tamamı için linke tıklayınız.

Veri Güvenliğinin En Büyük Düşmanı: Siber Saldırılar

Teknolojinin ilerlemesi ve yaygınlaşmasıyla siber saldırılar giderek artıyor. Peki 2022 yılında ne tür siber saldırılar gerçekleştiriliyor? Karşı karşıya kaldığımız tehdidin ne kadar farkındayız? Siber saldırıları önlemek için neler yapabiliriz? Bu sorular ve siber dünyada daha güvenli olabilmeniz için daha fazlasının cevabı bu ayki blog yazımızda!

Siber Saldırıların 2022 Yılında Geldiği Nokta

İster yeterli önlem alınmamasından, ister ise hatalı bir davranıştan kaynaklansın; siber güvenlik ihlallerinin %85’i insan hatası sebebiyle meydana gelmektedir. Gelişen teknolojiyle beraber artan ve önlenmesi zorlaşan siber saldırılar kapsamında Cybersecurity Ventures tarafından yapılan araştırmalara göre, işletmelere ve tüketicilere her 10 saniyede bir fidye saldırısı gerçekleştirilmektedir. Söz konusu saldırıların her yıl neden olduğu hasarın işletmelere dünya çapında 265 milyar dolara mal olduğuna ulaşılmıştır. Siber suçların yıllık küresel maliyetinin ise 2025’e kadar 10.5 trilyon dolara kadar çıkacağı öngörülmektedir. Bu sayı, siber suçların küresel uluslararası suçların toplamından 5 kat daha karlı olduğunu göstermektedir.

Siber saldırılar aracılığıyla elde edilen ve aralarında kişisel veri de bulunan verilerin satışları, siber saldırganlar arasında giderek popülaritesini artırmaktadır. Tehdit aktörleri olarak da adlandırılan siber saldırganlar için, aslında önemsiz sayılabilecek her türlü verinin oldukça kritik olduğu, hatta tehdit aktörleri tarafından bu verilere ihtiyaç duyulduğu gözlemlenmiştir. Yapılan saldırılar ve sonuçları incelendiğinde, tehdit aktörlerinin motivasyonlarının para ve itibar kazanma olduğu görülmüştür.

Görüldüğü gibi, siber ataklar her geçen gün daha fazla tehlike arz etmektedir. Tamamen engellenmeleri teknolojik açıdan mümkün olmasa da, önlem almaya siber saldırı türlerini öğrenerek başlanması uygun olacaktır.

Siber Saldırı Türlerini Anlamak

Malware – Kötü Amaçlı Yazılımlar:

Bir bilişim teknolojileri altyapısında yer alan herhangi bir cihaza, sunucuya ya da bilişim teknolojileri altyapısının tamamına zarar vermek için oluşturulan program ya da kodlar anlamına gelmektedir. Söz konusu yazılımlar karşımıza fidye yazılımı, solucanlar, truva atları, casus yazılımlar ve reklam yazılımları olarak çıkabilir. Daha önce de belirtmiş olduğumuz gibi bu saldırıların tamamen engellenmesi neredeyse imkansız. Bilişim sektöründeki en büyük şirketler bile söz konusu saldırılara maruz kalarak büyük zararlar görebiliyor. Örneğin sektörün önde gelenlerinden Microsoft’un 2017’de WannaCry isimli bir saldırıya uğraması sonucunda bir günde 150’den fazla ülkede Windows işletim sisteminin yüklü olduğu 230.000’den fazla bilgisayara virüs bulaşmıştı.

Ransomware – Fidye Yazılımı Saldırıları:

Kötü amaçlı yazılımlar arasında yer alan fidye yazılımı saldırıları, bilgi teknolojileri altyapınızdaki kullanıcıların sisteme erişimini engeller ve bu kullanıcılara ait hassas verileri ele geçirdikten sonra verileri şifreleyip tekrar erişim izni vermek için fidye talep eder. Örneğin yukarıda bahsetmiş olduğumuz Wannacry saldırısı bir fidye saldırısı olup, net olmamakla birlikte, yüzlerce milyon ile milyarlar arasında zarara sebep olmuştur.

Denial of Service (DoS) ve Distributed Denial of Service (DDoS) Saldırıları:

Hizmet reddi saldırıları olarak da adlandırılan DoS saldırıları bir makineyi veya ağı kapatıp erişilmez kılarak bilişim teknolojileri altyapınızdaki operasyonları durma noktasına getirir. Bu sebeple ağ içindeki rutin görevler yerine getirilemeyerek sunucuların güvenliği ihlal edildiği için e-postalara, çevrimiçi hesaplara ve diğer kaynaklara erişim sağlanamaz.

DoS saldırıları tek bir kaynaktan başlatılırken DDoS saldırılarında birden fazla kaynak kullanılmakta, bu da ilgili saldırı türünü tespit ederek önlemeyi zorlaştırmaktadır. Google, 2022 yılında yayınladığı bir blog yazısında saniyede 46 milyon istek gönderilerek yapılan tarihteki en büyük DDoS saldırısını başarıyla engellediğini duyurmuştur.

Man in the Middle (MITM):

Man in the Middle (MITM) saldırısı, bir siber saldırganın ağdaki bir kullanıcı ile bir web uygulaması arasındaki iletişimi gizlice takip ederek kritik verileri gizlice toplamasını sağlamaktadır. Kişisel veriler, şifreler ve bankacılık bilgilerini elde etmek için taraflardan birini taklit etmeyi içeren bu saldırı türü, oturum açma kimlik bilgilerinin değiştirilmesine ya da para transferi yapılmasına yol açabilmektedir.

Credential Stuffing Saldırıları – Kimlik Bilgisi Doldurma Saldırıları:

Günlük hayatta gerçekleştirdiğimiz alışveriş, iletişim ve hatta resmi evrak işleri gibi faaliyetlerin neredeyse tamamını artık internet üzerinden yönetebiliyoruz. Bunların kişiye özel şekilde yönetilebilmesi için ise e-posta, kullanıcı adı, telefon numarası gibi bilgilerle kişisel olarak belirlenen parolaların eşleştirilmesi aracılığıyla platformlara giriş yapıyoruz. Bu kadar çok faaliyet yürütürken ise her platform için ayrı ve güvenli parolalar oluşturup zihnimizde tutmanın insan kapasitesini bazen aşabilmesi nedeniyle farklı platformlarda aynı parolaları kullanabiliyoruz. Kimlik bilgisi doldurma saldırıları ise tam bu noktada devreye girip, tehdit aktörlerinin daha önce elde edilen parolaları farklı platformlarda ve hatta kurum içi uygulamalarda deneyerek yetkisiz erişim elde etmesini sağlıyor.

Siber Saldırılara Karşı Hazırlıklı Olmak: Saldırı Tespit ve Önleme Sistemleri

Saldırı Tespit Sistemleri, ağlara veya sistemlere karşı yapılan kötü niyetli aktiviteleri ya da politika ihlallerini izlemeye yarayan cihaz ya da yazılımlardır. Tespit edilen herhangi bir aktivite veya ihlal, söz konusu cihaz ya da yazılım tarafından ya bir yöneticiye bildirilir ya da bir güvenlik bilgi ve olay yönetimi (SIEM) sistemi kullanılarak çıktılar merkezi olarak toplanır. SIEM sistemi, çeşitli kaynaklardan gelen çıktıları birleştirir ve kötü niyetli alarmı hatalı şekilde oluşturulan alarmlardan ayırmak için alarm filtreleme teknikleri kullanır.

Saldırı Tespit Sisteminin çalışma mantığı sadece pasif şekilde izleme ve dinleme esası üzerine kuruludur. Bu, sistemin ağ üzerinde herhangi bir anormallik veya ihlal tespit etmesi halinde siber önleme amaçlı herhangi bir işlem yapmadığı anlamına gelir. Bu sebeple Saldırı Tespit Sistemi kullanılsa bile sistem sahiplerinin aktif şekilde söz konusu alarmları takip etmesi ve bunlara ilişkin aksiyon alması gerekir.

Saldırı Önleme Sistemleri ise, aktif şekilde izleme ve otomatik olarak savunma esası üzerine kuruludur. Saldırı tespit sistemlerinin aksine ihlalin tespit edilmesinin akabinde bu ihlale/saldırıya karşı savunma işlevi görür.

Örnek Olaylar ve Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları

Kişisel Verilerin Korunması Kanunu’nun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12. maddesinin 5. fıkrası uyarınca İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurul’a bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir. Bu maddeye dayanarak 01.09.2022 tarihinde Posta ve Telgraf Teşkilatı Biriktirme ve Yardım Sandığı tarafından yapılan veri ihlal bildirimi yayınlanmıştır. Söz konusu bildirim uyarınca; saldırganlar zararlı yazılımlar vasıtasıyla sistemlere yetkisiz erişim sağlamış ve PTT çalışanlarının anne kızlık soyadı, cilt seri no gibi kişisel verileri dahil olmak üzere 3.2 gb büyüklüğündeki veri tabanı yedeğini ve sitenin tüm dosyalarını ele geçirmiştir.

İlaç sektöründe faaliyet yürüten bir veri sorumlusunun veri ihlali bildirimi hakkında Kurul tarafından yayımlanan 16/06/2020 tarih ve 2020/463 sayılı kararda; veri ihlali zararlı yazılımlar ve fidye yazılımlarından kaynaklı bir siber saldırı sebebiyle gerçekleşmiştir. Saldırganlar, veri sorumlusunun yetkili kullanıcı şifresini ele geçirerek sistemlere erişimi engellemiştir. İhlale ilişkin Kurul tarafından yapılan değerlendirmeler sonucunda gerekli teknik ve idari tedbirlerin alınmaması sebebiyle veri sorumlusuna 125.000 TL idari para cezası verilmiştir.

Siber Saldırıların Engellenebilmesi için…

İçerisinde bulunduğumuz teknolojik çağ birçok kolaylıkla beraber, bahsetmiş olduğumuz siber saldırılar gibi olumsuz yenilikleri de beraberinde getirmektedir. Veri sorumluları tarafından bu tehlikelerin farkında olunması ve gerekli idari ve teknik tedbirlerin alınması beklenmektedir. Siber saldırılar aracılığıyla meydana gelen ihlaller öncesinde veri sorumluları tarafından;

• çift faktörlü doğrulama özelliği olan sistemlerde bu özelliğin aktifleştirilmesi,

• yetkili çalışanların siber saldırılara karşı eğitilmesi,

• veri ihlali müdahale prosedürlerinin oluşturulması,

• siber saldırılara yönelik teknolojik ürünlerin satın alınması,

• VPN erişimde kullanılan sertifikalar başta olmak üzere teknolojik ürünlerin lisanslarının her zaman güncel tutulması,

• log kayıtlarının adli olaylarda kanıt niteliğinde kullanılabilmesi için zaman damgasıyla damgalanması

gerekmektedir. Alınabilecek önlemler bunlarla sınırlı olmamakla birlikte, siber güvenliğin yanında, siber saldırıların sonucunda oluşan veri ihlallerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunundan doğan yükümlülüklerin de her zaman farkında olunmalıdır.

Yazar: Özden Serinay Öz – LinkedIn

Editör: Bilge Ezgi Peker – LinkedIn

Kaynakça:

https://kron.com.tr/2021-yilinda-en-sik-karsilasilan-siber-saldiri-turleri

https://www.ibm.com/reports/data-breachhttps://www.websiterating.com/tr/research/cybersecurity-statistics-facts/#references

Dört kişinin kişisel verilerini içeren bir belgeyi yanlışlıkla WhatsApp aracılığıyla başka bir alıcıya gönderen Alpha Bank România tarafından Romanya Veri Koruma Otoritesi’ne veri ihlal bildiriminde bulunulmuştur.Romanya Veri Koruma Otoritesi bankaya 1000 € para cezası verilmesine hükmetmiştir.

07/11/2022

Dört kişinin kişisel verilerini içeren bir belgeyi yanlışlıkla WhatsApp aracılığıyla başka bir alıcıya gönderen Alpha Bank România tarafından, Romanya Veri Koruma Otoritesi’ne veri ihlal bildiriminde bulunulmuştur.

Veri sahiplerinin adı ve soyadı, kimlik numarası, konumu ve imzası, kredi türü, sözleşme imza sayısı ve tarihi, kredi süresi ve son vade tarihini içeren bilgilerin yer aldığı ihlale konu olan olayda, veri sorumlusu konumundaki Alpha Bank Romania’nın GDPR 32(1-b) ve GDPR 32(2) maddeleri uyarınca gizlilik ve güvenlik düzeyini sağlamak adına yeterli teknik ve organizasyonel önlemleri almadığı tespit edilmiştir. Ayrıca, kişisel verilere erişimi olan çalışanlarının, GDPR Madde 32(4) ve Madde 29 uyarınca talimat verilmedikçe bunları işlememesini sağlamak için yeterli önlemleri almadığı da tespit edilmiştir.

Bunun üzerine, Romanya Veri Koruma Otoritesi, veri sorumlusu Alpha Bank Romania’nın GDPR 29, GDPR 32(1-b), GDPR 32(2) ve GDPR 32(4) maddelerini ihlal ettiğine ve veri sorumlusuna 1000 € para cezası verilmesine hükmetmiştir.

İlgili karara buradan ulaşabilirsiniz.

Çalışanlarının rızası olmaksızın Covid-19 aşısı hakkında bir web sitesine kaydolmak ve onlar adına randevu oluşturmak gerekçeleriyle SC Wagab Water Services SRL hakkında Romanya Veri Koruma Otoritesi tarafından €1.000 para cezasına hükmedilmiştir.

01/11/2022

Çalışanlarının rızası olmaksızın Covid-19 aşısı hakkında bir web sitesine kaydolmak ve onlar adına randevu oluşturmak gerekçeleriyle SC Wagab Water Services SRL hakkında Romanya Veri Koruma Otoritesi’ne ihlal bildiriminde bulunulmuştur.

Romanya Veri Koruma Otoritesi tarafından yapılan incelemelerde veri sorumlusu sıfatıyla SC Wagab Water Services SRL’nin, çalışanlarına ait verileri hukuka aykırı olarak işlediği tespit edilmiştir.

Söz konusu web sitesine kayıt işlemi gerçekleştirilirken geçerli bir rızaya dayanıldığının kanıtlanamaması üzerine GDPR 5/1-a, 5/2 ve 6. maddelerinin ihlal edildiğine karar verilmiş ve SC Wagab Water Services SRL aleyhine €1.000 para cezasına hükmedilmiştir.

Karar metninin linkine buradan ulaşabilirsiniz.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

01/11/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Avrupa Komisyonu, eğitimde yapay zeka kullanımı için “Etik Yönergeler”i yayınladı.

Avrupa Komisyonu, kısa süre önce eğitim platformlarında “Yapay Zeka Kullanımına İlişkin Etik Yönergeler”i yayınladı. Kılavuz, 2021-2027 Dijital Eğitim Eylem Planı’nın bir parçası olarak, eğitim ortamlarında yapay zekayı ve yapay zekanın okullarda nasıl kullanılacağını öğretmenlere ve öğrencilere öğretmeyi, öğrenmelerinde öğretmen ve öğrencileri desteklemeyi ve idari görevleri desteklemeyi amaçlamaktadır. Hedefler arasında, eğitimcilere pratik tavsiyeler sunarak yapay zekanın kullanımıyla ilgili yanlış anlamaları ve kullanımına ilişkin etik hususları netleştirmek yer almaktadır.

Haberin tamamı için linke tıklayınız.

2. Google ve DOJ, arama emirleriyle ilgili veri kaybını engellemek amacıyla anlaşmaya vardı.

Reuters’ın haberine göre, ABD Adalet Bakanlığı (“DOJ”), 2016’da gerçekleşen arama emriyle ilgili veri kaybı konusunda, Google ile “türünün ilk örneği” denebilecek çözüme ulaştığını açıkladı. Anlaşmaya göre Google, “mahkeme celbi ve arama emri gibi yasal süreçlere zamanında ve eksiksiz yanıt verilmesini sağlamak” adına yasal süreç uyum programı oluşturacak. Google, anlaşmanın, kullanıcı taahhütlerini değiştirmediğini ve hükümetin geniş çaplı taleplerine karşı direnme de dahil olmak üzere kullanıcılarının gizliliğini koruma konusunda köklü bir geçmişe sahip olduğunu belirtti.

Haberin tamamı için linke tıklayınız.

3. ICO, istihdam rehberi istişarelerini yayınladı.

İngiltere Veri Koruma Otoritesi (“ICO”), istihdam rehberi istişare serisinin ikincisini yayınladı. Rehber; işverenlerin, çalışanların sağlık bilgilerini nasıl kullanması ve koruması gerektiğini öğretmeyi amaçlıyor. İstişareler, mevcut istihdam kodunu, Birleşik Krallık Genel Veri Koruma Tüzüğü rehberi ile birlikte değiştirme sürecinin bir parçası olarak kabul ediliyor. Kamuoyu görüşlerinin toplanması dönemi, 26 Ocak 2023’te sona eriyor. Ayrıca belirtmek gerekir ki, ICO daha önce çalışanların işyerinde izlenmesine ve gözetlenmesine ilişkin taslak rehber yayınlamıştı. Bu rehber için istişare dönemi ise 11 Ocak 2023’te sona eriyor.

Haberin tamamı için linke tıklayınız.

4. Fransa ve Güney Kore Veri Koruma Otoriteleri tarafından işbirliği bildirgesi imzalandı.

Fransa Veri Koruma Otoritesi, Nationale de l’informatique et des libertés (“CNIL”) ve Güney Kore Kişisel Bilgileri Koruma Komisyonu (“PIPC”) arasında; yeni teknolojiler ile veri koruma konuları üzerinde ortak araştırma yapmak, en iyi uygulama örneklerini ve deneyimleri paylaşmak ve ortak eğitim girişimleri düzenlemek amacıyla bir işbirliği bildirgesi imzalandı. PIPC Başkanı Haksoo Ko, anlaşmanın yeni teknolojileri de içeren gizlilik konularının ele alınması söz konusu olduğunda daha fazla işbirliği ve inovasyonu teşvik edeceğini söylerken, CNIL Başkanı Marie Laure Denis, yapıcı ve üretken bir işbirliği için yeni bir sayfa açıldığını ifade etti.

Haberin tamamı için linke tıklayınız.

5. Amerika Birleşik Devletleri siyasi kampanyaları, ikna edilebilir seçmenler bulmak amacıyla seçmenleri puanlandırıyor.

The New York Times’ın haberine göre siyasi kampanyalar, seçmenlerin belirli bir konudaki görüşlerini ve oy kullanma olasılıklarını ölçmek amacıyla reklamlar aracılığıyla onları hedefleyebilir. Örneğin, 2020 yılında analitik firması PredictWise tarafından Cumhuriyetçi Parti seçmenleri, COVID-19 karantina önlemlerinde evde kalma sürelerinin tespitine ilişkin cep telefonu konum verileri kullanılmak suretiyle puanlanmış olup işbu puanlama Demokrat Parti açısından ikna edilebilir oy olarak değerlendirildi. Seçmen puanlamasında, insanların genellikle dikkate alabileceği gizli bilgilerden olan “eşcinsel evlilik” veya “Hristiyan olmayanlar” gibi kişisel verilerin kullanılıyor olması sebebiyle, araştırmacılar söz konusu uygulamanın kutuplaşmayı artıracak olmasından endişe etmektedir.

Haberin tamamı için linke tıklayınız.

6. İrlanda Sivil Özgürlükler Konseyi, Avrupa Birliği market zinciri tarafından uygulanan sadakat programının Birleşik Krallık Genel Veri Koruma Tüzüğü (“UK GDPR”)’nü ihlal ettiğini iddia ediyor.

İrlanda Sivil Özgürlükler Konseyi üyeleri, Birleşik Krallık market zinciri Tesco’nun CEO’suna mektup yazarak, sadakat programına kayıtlı olmayan müşterileri engellemeye yönelik yeni uygulamanın UK GDPR uyarınca hukuka aykırı olduğunu iddia etti. Mektuba dair kopyalar Avrupa Veri Koruma Kurulu Başkanı Andrea Jelinek, Birleşik Krallık Veri Koruma Görevlisi John Edwards ve Tesco müdürü John Allan’a iletildi. Söz konusu mektup ile, Tesco sadakat programının “kapsamlı bir veri toplama ve işleme faaliyetini gerektirdiğini” ve “UK GDPR madde 5(c)’de belirtilen veri minimizasyonu ilkesini ihlal ettiğini” iddia ediliyor.

Haberin tamamı için linke tıklayınız.

7. Almanya Veri Koruma Otoritesi (“DPA”): Avrupa Birliği – Amerika Birleşik Devletleri arasında veri aktarım hükmünü çevreleyen ‘yasal belirsizlik’ devam ediyor.

Baden-Württemberg Eyaleti Veri Koruma ve Bilgi Özgürlüğü Komiseri Stefan Brink, ABD Başkanı Joe Biden tarafından AB-ABD Veri Gizliliği Taslağı’nın yeniden oluşturulmasına ilişkin tesis edilen başkanlık kararnamesinde yasal belirsizliğin devam ettiğini belirtti. Brink ayrıca belirsizlikler arasında; ABD tarafından tesis edilen kararname ile AB Genel Veri Koruma Tüzüğü (GDPR) gerekliliklerinin uygulanabilirliği, kararname ile kurumsal uyum ve kararnamenin Bulut Yasası gibi diğer ABD yasalarıyla nasıl etkileşim içerisinde olacağı gibi soruların yer aldığını belirtti.

Haberin tamamı için linke tıklayınız.

8. Medibank ihlali 4 milyon sağlık sigortası müşterisinin tamamını etkiliyor.

Reuters’ın haberine göre; Avustralya menşeli sağlık sigortası şirketi, Medibank’ta yaklaşık 4 milyon müşteriye ait 200 GB’lık veri ihlali gerçekleşti. Şirket, ihlal edilen veriler arasında, kişisel verilerin ve “önemli miktarda” müşterinin sağlık şikayeti verilerinin yer aldığını aktardı. Medibank CEO’su David Koczkar, “Bu korkunç bir suç, topluluğumuzun en savunmasız üyelerine maksimum zarar vermek için tasarlanmış bir suç.” diyerek müşterilerden özür diledi.

Haberin tamamı için linke tıklayınız.

9. Şirketler reklamlarda ünlülerin “deepfakelerini” kullanıyor.

The Wall Street Journal’ın haberine göre, bazı şirketler, ünlülerin izni olsun veya olmasın reklamlarında deepfake teknolojisiyle oluşturulan dijital simülasyonlarını kullanıyor. Uzmanlar, teknolojinin markaların daha hızlı ve daha ucuz içerik üretmesine yardımcı olabileceğini söylerken, deepfake teknolojisiyle videolar üreten ve onlarla tanınan Slack Shack Films’in sahibi Daynen Biggs, videoların son derece zararlı olma potansiyeline sahip olduğunu kabul etti ve “Yarattığımız şeyin zarar verici veya aldatıcı değil, bir mesajı paylaşmanın eğlendirici ve eğlenceli yolu olmasına her zaman dikkat ediyoruz.” dedi.

Haberin tamamı için linke tıklayınız.

10. Peru Veri Koruma Otoritesi, uluslararası veri aktarımları için sözleşme maddelerinin uygulanmasına yönelik rehberi onayladı.

Peru Veri Koruma Otoritesi(“ANPD”), kişisel verilerin küresel standartlara uygun şekilde uluslararası olarak aktarılmasına izin veren rehberi onayladı. “Kişisel Verilerin Uluslararası Aktarımına İlişkin Model Sözleşme Maddeleri Uygulama Rehberi” başlıklı rehber, ANPD tarafından “uluslararası veri aktarımlarındaki sınırlamaların aşılması” açısından kritik olarak değerlendirilmektedir. Rehber, Ibero-Amerikan Veri Koruma Ağı Daimi Sekreterliği tarafından yayınlanan Kişisel Verilerin Uluslararası Aktarımına İlişkin Model Sözleşme Maddelerinin Uygulanmasına İlişkin Kılavuz’a dayanmaktadır.

Haberin tamamı için linke tıklayınız.

Romanya’da Banca Comercială Română SA şirketinde kişisel veri içeren e-postaların yanlış adrese gönderilmesi sonucu şirkete €2.000 para cezası verilmiştir.

28/10/2022

Romanya’da Banca Comercială Română SA şirketinin yetersiz teknik ve organizasyonel tedbirleri, kişisel veri içeren e-postaların yanlış adrese gönderilmesi sonucunda, Romanya Veri Koruma Otoritesi’ne veri sorumlusu tarafından ilgi şirket hakkında kişisel veri ihlal bildiriminde bulunulmuştur.

Romanya Veri Koruma Otoritesi tarafından gerçekleştirilen soruşturmada, 564 veri sahibinin ihlalden etkilendiğini tespit edilmiş ve meydana gelen ihlalin bir yazılım uygulamasından kaynaklı teknik hata sonucu meydana geldiği belirlenmiştir.

Romanya Veri Koruma Otoritesi, veri sorumlusunun kişisel verileri işlemek için güvenliği sağlama konusunda yeterli teknik ve organizasyonel tedbirleri almadığına karar vermiş ve bu durumun GDPR 25/1., GDPR 32/1-b., GDPR 32/1-d., ve GDPR 32/2. maddelerine aykırılık oluşturduğu sonucuna varmıştır. Karar sonucunda veri sorumlusu aleyhine €2.000 para cezasına hükmedilmiştir.

Karar metninin linkine buradan ulaşabilirsiniz.

İspanya Veri Koruma Otoritesi Naturgy Enerji Grubu aleyhine €80,000 para cezasına hükmetmiştir.

26/10/2022

İspanya Veri Koruma Otoritesi’ne, veri sahibinin e-posta adresinin rızası dışında değiştirildiği ve verilerinin üçüncü kişiler ile paylaşıldığı gerekçesiyle gaz ve elektrik tedarikçisi Naturgy Enerji Grubu aleyhine ihlal bildiriminde bulunulmuştur.

Yapılan incelemeler neticesinde, kendisini veri sahibinin akrabası olarak tanımlayan üçüncü bir kişi tarafından söz konusu e-posta verisinin değiştirildiği ve veri sahibinin iki adet fatura bilgisinin bu kişiyle paylaşıldığı tespit edilmiştir.

Bunun üzerine veri sorumlusu tedarikçinin savunması talep edilmiş ve firma, erişim sırasında gerekli güvenlik sorularını sorarak bu anlamda tedbir yükümlülüğünü yerine getirdiğini beyan etmiştir. Ancak İspanya Veri Koruma Otoritesi, tedbirlerin yeterli olduğu noktasında yapılan savunmaya itibar etmeyerek veri sahiplerinin kişisel verilerinin korunmasını garanti altına almak için gerekli güvenlik önlemlerinin alınmadığı gerekçesiyle GDPR 32. maddesinin ihlal edildiğine karar vermiş ve veri sorumlusu aleyhine €80,000 para cezasına hükmetmiştir.

Karar metninin linkine buradan ulaşabilirsiniz.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

25/10/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. ICO, elektronik posta kullanımıyla doğrudan pazarlama hakkında kılavuz yayınladı.

İngiltere Veri Koruma Otoritesi (“ICO”), elektronik posta kullanımıyla doğrudan pazarlama hakkında bir kılavuz yayınladı. Yayınlanan kılavuz, elektronik posta kullanımıyla doğrudan pazarlamanın ne olduğu ve doğrudan pazarlamaya ilişkin kurallara nasıl uyulacağı da dahil olmak üzere, 2003 tarihli Gizlilik ve Elektronik İletişim Tüzüğüne (“PECR”) uyum sağlamak için nelerin gerekli olduğunu ayrıntılı olarak açıklıyor. Bununla birlikte kılavuz, PECR ile veri koruma düzenlemeleri arasındaki ilişkiye ve ilgili kuralların elektronik posta kullanımıyla doğrudan pazarlama açısından ne anlama geldiğine ışık tutuyor ve PECR ile uyum sağlanamadığı durumda ne olacağını tartışıyor.

Haberin tamamı için linke tıklayınız.

2. Avustralya Sendikalar Konseyi (“ACTU”), çalışan gizliliği ilkeleri hakkında teklifte bulundu.

ACTU, çalışanların gizlilik uygulamalarını ve standartlarını iyileştirmeye yönelik ilkeleri yayınladı. ACTU’nun yayınladığı ilkeler “düzenleme ve güvencelerdeki önemli eksikliklere” cevap niteliğinde. İlkeler; veri minimizasyonu gerekliliğini, işverenin koruma gerekliliklerini, çalışan veri erişim haklarını ve çalışan gözetimi ile ilgili bildirim ve rızayı içeriyor.

Haberin tamamı için linke tıklayınız.

3. Ekonomik İşbirliği ve Kalkınma Örgütü (“OECD”), sınır ötesi veri akışı raporunu yayınladı.

OECD, veri akışı hususunda küresel politikaları ve girişimleri incelemeye ilişkin rapor yayınladı. OECD yayınladığı raporla, “küresel ekonomi ve sosyal refah için verilerin tüm potansiyelinden yararlanan politikalarla ve düzenleyici yaklaşımlarla eşgüdümlü ve tutarlı ilerlemeyi” desteklerken, G-7 üyeleri arasında “ortak bir anlayış ve diyalog” geliştirmeyi amaçlıyor. Rapor; tek taraflı işbirliğini, hükümetler arası süreçleri ve teknik ve idari tedbirleri kapsıyor.

Haberin tamamı için linke tıklayınız.

4. Akıl sağlığı sorunlarının tespitinde “ses biyobelirteç” yazılımının kullanımı artıyor.

Axios’un haberine göre, bir kişinin zihinsel sağlık sorunlarını saptamak için konuşma şeklini analiz eden “ses biyobelirteç” yazılımının; hastaneler, sigorta şirketleri, doktor muayenehaneleri ve daha fazlası tarafından kullanımı artıyor. Kintsugi CEO’su Grace Chang, yazılımın depresyon ve anksiyeteyi %80 doğrulukla tespit edebildiğini ve yazılım kullanılmadan önce hasta onayının alındığını aktardı. Ses biyobelirteç yazılımının kullanımındaki bu artış mahremiyet, sistemik önyargı ve ayrımcılıkla ilgili endişeleri artırıyor.

Haberin tamamı için linke tıklayınız.

5. Texas başsavcısı, biyometrik veri toplama iddiasıyla Google’a dava açtı.

The New York Times’ın haberine göre; Teksas Başsavcısı Ken Paxton, Google’a karşı açılan davada, şirketin vatandaşların yüz ve ses tanıma verilerini rızası olmadan eyalet Tüketici Koruma Yasasını ihlal ederek topladığını iddia etti. İlgili yasa, şirketlerin biyometrik veri toplamadan önce tüketicilerin bilgilendirilmesini ve tüketicilerden bu konuda onay alınmasını şart koşmaktadır. Davada Google’ın Fotoğraflar uygulamasının, Nest kameranın ve Google Asistan’ın kullanıcıların ve kullanıcı olmayanların gizliliğini ihlal ettiğini iddia edilirken; Google bu iddialara Paxton’ın “ürünleri yanlış nitelendirdiği” şeklinde karşılık verdi.

Haberin tamamı için linke tıklayınız.

6. Pazarlamacılar, Uber sürücülerini, seyahat geçmişine ve varış noktasına göre hedefleyebilecek.

The Wall Street Journal’ın haberine göre, Uber’in yeni kullanıma sunulan mobilite medya bölümü aracılığıyla pazarlamacılar, sürücülerin son seyahat geçmişlerine ve coğrafi varış noktalarına göre sürücü hedeflemelerine yardımcı olmak için uygulama genelinde reklamlar sunabilecek. “Yolculuk reklamları” aynı zamanda bir adet markanın uygulama kullanıcıları arabayı beklerken, seyahat ederken ve varış noktasına ulaştıklarında onlara farklı reklamlar göstererek bir sürücünün tüm yolculuğuna sponsor olmasına olanak tanımaktadır. Uber sözcüsü; uygulama kullanıcılarının kişisel verilerinin değil, kümeleştirilen ve özetlenen verilerin reklam verenlerle paylaşıldığını ve uygulama kullanıcılarının istedikleri zaman reklam hedeflemeyi devre dışı bırakabileceklerini söyledi.

Haberin tamamı için linke tıklayınız.

7. Fransa Veri Koruma Otoritesi (“CNIL”) tarafından, Clearview AI’ye yönelik 20 milyon Euro para cezasına hükmedildi.

CNIL tarafından, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) ihlal edildiği iddiasıyla Clearview AI’ye yönelik 20 milyon Euro para cezasına hükmedildi. CNIL tarafından Mayıs 2021’de Clearview’e ait yüz tanıma veritabanı ve veri işleme uygulamalarına ilişkin yapılan bir şikayet uyarınca soruşturma başlatıldı. CNIL Başkan’ı tarafından Kasım 2021’de, Clearview’in yanıt vermediği iddia edilen ihlallerin çözüme kavuşturulması için resmi bir bildirimde bulunuldu. CNIL tarafından Clearview’e yönelik verilen ceza ile birlikte ayrıca işleme faaliyetlerinin durdurulmasına ve GDPR ihlalleriyle ilişkili önceden toplanmış verilerin silinmesine hükmedildi.

Haberin tamamı için linke tıklayınız.

8. Veri koruma meseleleri, Hollanda Vergi Otoritesi’ne ait Dolandırıcılık Uyarı Sistemi’nde sorunlara yol açıyor.

NRC’nin haberine göre, Hollanda Vergi ve Gümrük İdaresi’ne ait vergi dolandırıcılığını dosyalama ve işlemeye yönelik çevrimiçi sistemin iki yıldan fazla süredir ulusal gizlilik mevzuatına uymadığı belirtildi. Hollanda Veri Koruma Otoritesi Autoriteit Persoonsgegevens (“AP”) tarafından Ekim 2021’de yürütülen soruşturma neticesinde İdare’ye ait Dolandırıcılık Uyarı Sistemi’nin gizlilik yasalarını ihlal ettiği tespit edilmişti. Bu soruşturma sırasında ise söylentiye göre İdare tarafından 25.000 adet dolandırıcılık şikayeti dikkate alınamadı. Yapılan soruşturma, AP tarafından Aralık 2021’de hükmedilen 2,75 milyon Euro para cezasıyla sonuçlandı.

Haberin tamamı için linke tıklayınız.

9. Ontario Bilgi ve Gizlilik Otoritesi (“IPC”), fidye yazılımlarına karşı koruma rehberi yayınladı.

IPC, fidye yazılımlarına karşı korunmaya ilişkin yayınladığı rehberde fidye yazılımlarını “Ontario kuruluşlarının karşı karşıya olduğu en büyük tehdit” olarak nitelendirdi. Kanada Siber Güvenlik Merkezi tarafından, sayının eksik raporlama nedeniyle çok daha yüksek olduğuna inanılmakla birlikte, 2021 yılında Kanada kuruluşlarını etkileyen 235 adet fidye yazılımı saldırısı bildirildi. Yayınlanan rehberde fidye yazılımı saldırılarının etkileri, fidye yazılımlarına karşı korunma yükümlülükleri, gerçekleşen saldırının aşamaları, tehditleri azaltmanın ve kuruluşları korumanın yolları ve siber güvenlik olaylarına yanıt verme konuları ele alınmaktadır.

Haberin tamamı için linke tıklayınız.

10. Hackerlar tarafından bir sigorta şirketine ait 1.4 TB’lık veriye erişilmesi sebebiyle 2.2 milyon perakende müşterisine ait bilgiler ifşa edildi.

Cybernews’in haberine göre; fidye yazılım grubu LockBit tarafından, Birleşik Krallık merkezli sigorta şirketi Kingfisher Insurance ve onun markalarından olan First Insurance’dan 1.4 terabayt veri elde edildi. Grup tarafından, çalınan verilerin çalışan ve müşterilere ait kişisel verileri içerdiği ifade edildi.

Ayrıca Cybernews’in haberine göre; Avustralya merkezli Woolworths Group’un bir yan kuruluşu olan çevrimiçi perakendeci MyDeal tarafından, müşteri ilişkileri yönetim sisteminde gerçekleşen ihlal nedeniyle 2.2 milyon müşteriye ait ad, e-posta adresi, telefon numarası ve teslimat adresi bilgilerinin ifşa edildiği belirtildi.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

18/10/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. LifeBridge Health, veri ihlalleriyle ilgili açılan toplu davada 9,5 milyon dolarlık uzlaşmayı kabul etti.

HIPAA Journal’ın haberine göre, LifeBridge Health Hastaneleri, 500 binden fazla hastanın kişisel verilerini ifşa eden veri ihlalleriyle ilgili 2018’de açılan toplu davada 9,5 milyon dolarlık uzlaşma teklifini kabul etti. Anlaşmaya göre, kişisel verilerinin kimlik hırsızlığına maruz kaldığını iddia eden grup üyelerine 800 bin dolarlık fon sağlanacak ve LifeBridge Health, veri şifreleme ve çok faktörlü kimlik doğrulama dahil veri güvenliği iyileştirmelerine 7,9 milyon dolar tahsis edecek.

Haberin tamamı için linke tıklayınız.

2. CNIL, siyasi adayların ve partilerin veri koruma mevzuatına uymasına yardımcı olmak için çalışmalar yapıyor.

Fransa Veri Koruma Otoritesi (“CNIL”), siyasi adayların ve partilerin veri koruma mevzuatına uymalarına yardımcı olmak amacıyla bir eylem planı oluşturdu. CNIL, 2022 Cumhurbaşkanlığı ve parlamento seçimlerinin ardından, veri ihlallerine ilişkin 45 soruşturmayla birlikte raporlarında veriyle ilgili şikayetlerdeki artışa dikkat çekti ve çalışmalarını bu yönde detaylandırdı. CNIL yaptığı açıklamalarda; yükselen trendin, vatandaşların Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) hakkında farkındalığını daha fazla yansıttığını ve CNIL’in kişisel verilerin korunmasında “referans otorite” olarak tanınırlığının arttırdığını belirtti.

Haberin tamamı için linke tıklayınız.

3. Hollanda mahkemesi Florida merkezli şirkete web kamerası izlemeleri nedeniyle 75 bin euro para cezası verdi.

NL Times’ın haberine göre, Hollanda mahkemesi, Florida merkezli bir yazılım geliştirme şirketinin web kamerasını açık bırakmayı reddeden eski bir çalışan lehine 75 bin euro ödemesine karar verdi. Chetu’nun Rijswijk şubesinde çalışan Hollanda vatandaşı, şirketin çalışırken ekran paylaşımı ve kamera açma zorunlu kılmasının mahremiyetin “istilası” olduğunu ve veri gizliliği düzenlemelerini ihlal ettiğini söyledi. Mahkeme, “Kamerayı açık bırakma talimatı, çalışanın özel hayatına saygı gösterilmesi hakkına aykırıdır.” dedi.

Haberin tamamı için linke tıklayınız.

4. Illinois jürisi, demiryolu şirketini BIPA ihlalinden suçlu buldu.

CBS News haberine göre, ABD Chicago Bölge Mahkemesi jürisi, BNSF Demiryolu Şirketi’nin Illinois Biyometrik Bilgi Gizlilik Yasası’nı ihlal ettiğine ve davayı açan kamyon sürücülerine 228 milyon dolar ödenmesine karar verdi. Mahkeme, şirketin sürücülerden yazılı izin almadan parmak izi sistemini kullanmasının 45 bin sürücünün mahremiyetini ihlal ettiğine karar verdi.

Haberin tamamı için linke tıklayınız.

5. Avrupa Konseyi Yapay Zeka Sözleşmesi, Avrupa Veri Koruma Denetçisi (“EDPS”) tarafından memnuniyetle karşılandı.

Wojciech Wiewiórowski tarafından Avrupa Konseyi Yapay Zeka Sözleşmesi’nin, gizlilik ve veri koruma haklarını güçlendirmek için bir fırsat olduğu ve veri koruma haklarının Avrupa Komisyonu tarafından önerilen Yapay Zeka Yasası’nı tamamlayacağı belirtildi. Wiewiórowski yayınlanan bir görüşünde, kabul edilemez riskler oluşturan yapay zeka sistemlerini yasaklayan ve yapay zeka sistemlerinin kullanımından etkilenen kişiler için asgari prosedürel güvenceleri ve hakları içeren Avrupa Birliği’nin mevcut veri koruma kapsamına uygunluğuna dikkat çekti.

Haberin tamamı için linke tıklayınız.

6. Gizlilik alanında çalışan avukatlar veri koruma ihlali tazminiyle ilgili endişelerini dile getiriyor.

Euractiv’in haberine göre, gizlilik alanında çalışan avukatlar Avrupa Birliği Adalet Divanı Başsavcısı tarafından verilen ve bağlayıcı olmayan bir görüşün, veri koruma ihlallerinin tazmin edilebilirliğini azaltacağı ve bireylerin Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki gizlilik haklarını savunma kabiliyetini sınırlandıracağı konusunda endişelerini dile getiriyor. Sivili Toplum Kuruluşu (NGO) Avrupa Dijital Haklar Merkezi (NOYB)’nin kurucusu ve başkanı Max Schrems tarafından, söz konusu görüş oldukça rahatsız edici olarak nitelendirildi ve çoğu kullanıcının artık GDPR ihlallerine karşılık tazmin görmeyeceği belirtildi.

Haberin tamamı için linke tıklayınız.

7. Beyaz Saray Ulusal Güvenlik Stratejisini yayınladı; ABD, nesnelerin interneti (“IoT”) cihazları için siber güvenlik etiketi geliştirecek.

ABD Başkanı Joe Biden, 2022 Ulusal Güvenlik Stratejisini yayınladı ve güvenlik ve gizliliği korumak kaidesiyle “veri ve fikirlerin güvenle serbest akışını” teşvik etti. 2022 Ulusal Güvenlik Stratejisi; ABD-AB Ticaret ve Teknoloji Konseyi’nin “güvenilir yapay zeka” üzerindeki ve teknolojinin güvenliği tehdit edecek şekilde kötüye kullanılması konusundaki çalışmalarını içeriyor. Ayrıca “(Amerikalıların) hassas verilerinin sömürülmesine ve ticari casus yazılım ve gözetim teknolojisi dahil olmak üzere teknolojinin yasa dışı kullanımına karşı” çalışmayı tartışıyor.

Biden yönetimi, IoT cihazları için bir siber güvenlik standart etiketinin oluşturulması da dahil olmak üzere, Amerika Birleşik Devletleri’nin siber güvenliğini güçlendirmek ve korumak için atılan adımlar hakkında bir bilgi notu yayınladı. Şirketler, dernekler ve hükümet ortakları bu ay bir araya gelerek Amerikalıların cihazlarının güvenli olduğunu bilmelerine yardımcı olmasını sağlayacak etiketi geliştirmeyi tartışacaklar. “En fazla etkiyi en hızlı şekilde sağlamak için” yönlendiriciler ve ev kameraları üzerinde odaklanılacak.

Menkul Kıymetler ve Borsa Komisyonu (“SEC”), broker-dealer için getirilen elektronik kayıt tutma mecburiyetine ilişkin yasa değişikliğini kabul etti. SEC, “Yasa değişikliği, son yirmi yıldaki teknolojik değişiklikler göz önüne alındığında kayıt tutma gereksinimlerini modernize etmek ve kanunu elektronik kayıt tutmadaki yeni teknolojilere uyarlanabilir hale getirmek için tasarlandı” dedi.

Haberin tamamı için linke tıklayınız.

8. Garante seslerin üzerinde oynayan uygulamaya karşı araştırma yapıyor.

İtalya Veri Koruma Otoritesi (‘’Garante’’), tanınmış kişilerin seslerini, üzerinde oynayarak yeniden üreten bir uygulama üzerinde inceleme gerçekleştiriyor. Garante, “The Storyteller Company – Fakeyou”dan teknolojisinin nasıl çalıştığı, hangi kişisel bilgilerin işlendiği ve veri işleme amaçları hakkında bilgi vermesini istedi. Şirketten ayrıca kişisel veri barındıran tüm veri merkezlerinin konumunu sağlaması talep ediliyor. Otorite, endişelerinin “ses kaydı gibi kişisel verilerin uygunsuz kullanımından kaynaklanabilecek potansiyel risklere yönelik olduğunu” söyledi.

Haberin tamamı için linke tıklayınız.

9. Avustralyalı düzenleyiciler telekomünikasyon sağlayıcı ihlalini araştırıyor

Reuters’in haberine göre, Avustralya Bilgi Komisyonu Ofisi (“OAIC”) ve Avustralya İletişim ve Medya Kurumu (“ACMA”), 10 milyon Optus cep telefonu müşterisini etkileyen bir veri ihlalini araştırıyor. OAIC, şirketin veri koruma çabalarını ve gizlilik yasalarına uyumunu araştıracağını, ACMA ise kişisel verilerin korunmasının ve imhasının endüstri yükümlülüklerini karşılayıp karşılamadığını araştıracağını belirtti. OAIC, Avustralya Gizlilik Yasası’nın ihlal edilmesi durumunda 2,2 milyon Avustralya dolarına kadar para cezası uygulanabileceğini söyledi.

Haberin tamamı için linke tıklayınız.

10. Meta Pixel’in video takip aracı üzerinden yaklaşık 50 toplu dava açıldı.

Bloomberg Law’ın haberine göre, tüketiciler, Meta Platforms’un Pixel video takip aracının video tüketim verilerini şirketlerle izinsiz paylaştığını iddia ederek Şubat ayından bu yana düzinelerce şirkete karşı yaklaşık 50 toplu dava açtı. Davalar, haber kaynakları ve canlı yayın hizmetleri de dahil olmak üzere video barındıran şirketlerin federal Video Gizliliği Koruma Yasası’nı ihlal ettiğini iddia ediyor. Lieff Cabraser Heimann & Bernstein Avukatlık Bürosu ortağı Douglas Cuthbertson, “insanların izlemek istediklerini izleyebilmeleri ve tüm dünyanın bunu bilmemesinin, bunun paraya çevrilmemesinin, faydalanılmamasının, diğer verilerle ilişkilendirilmemesinin ve bir araya getirilmemesinin” önemli olduğunu söyledi.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

11/10/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. İngiltere Veri Koruma Otoritesi (“ICO”), katalog perakendecisine müşterilerinin kişisel bilgilerini kötüye kullandığı için para cezası verdi.

ICO, katalog perakendecisi EasyLife’a, yaklaşık 150.000 müşterisinin kişisel bilgilerini reklamları hedeflemek için kullandığı gerekçesiyle 1.48 milyon sterlin para cezası verdi. Ev eşyaları satan EasyLife, müşterilerinin verilerini rızası olmadan kullanarak tıbbi durumlarını tahmin ederek hedefleme yaptığı ve onlara “sağlıkla ilgili ürünler” önerdiği gerekçesiyle 1.35 milyon sterlin para cezasına çarptırıldı. Şirket ayrıca, 1.3 milyondan fazla “yıkıcı doğrudan pazarlama çağrısı” yaptığı için 130.000 sterlin ek para cezası aldı. ICO, EasyLife’ın sattığı 122 öğeden 80’inin şirketin müşterileri profillemek için kullandığı “tetikleyici ürünler” olduğunu buldu.

Haberin tamamı için linke tıklayınız.

2. ABD Temsilciler Meclisi, önerilen Amerikan Veri Gizliliği ve Koruma Yasası’nı onayladı.

ABD Temsilciler Meclisi Yeni Demokrat Koalisyonu (“NDC”), önerilen Amerikan Veri Gizliliği ve Koruma Yasası’na desteğini açıkladı. NDC, 99 üyesiyle Meclis’teki en büyük grubu oluşturmaktadır. NDC Başkanı Suzan DelBene, koalisyonun desteğinin “gizliliği varsayılan hale getiren ve insanları kendi bilgilerinin kontrolüne sokan politikaları ilerletmeye öncelik verdiği” için geldiğini söyledi. NDC’nin “Temsilciler Meclisi ve Senato’daki, Cumhuriyetçiler ve Demokratlara, bu kritik konuda bir anlaşmaya varmak için bu anı yakalamaları” çağrısında bulunduğunu da sözlerine ekledi.

Haberin tamamı için linke tıklayınız.

3. İngiltere- ABD arasında Veri Erişim Anlaşması yürürlüğe girdi.

ABD Adalet Bakanlığı (“DOJ”), İngiltere ile ABD arasındaki cezai veri paylaşımına ilişkin Veri Erişim Anlaşması’nın 3 Ekim’de yürürlüğe girdiğini duyurdu. İki ülke, sınır ötesi paylaşımlarda kısıtlamalara aykırı davranma korkusu olmadan diğer ülke tarafından elektronik veriler için verilen nitelikli ve yasal talepler kapsamında verileri paylaşabilecek. DOJ, anlaşmanın “hızlı ilerleyen soruşturmalar sırasında ülkeler tarafından verilen veri taleplerinin yerine getirilmesi amacıyla gerekli elektronik verilere zamanında ve verimli erişim” sağladığını sözlerini ekledi. Anlaşma, ABD Kongresi tarafından 2018 yılında çıkarılmış bir yasa olan Verilerin Denizaşırı Ülkelerde Kullanım Şeklinin Netleştirilmesi Yasası kapsamında yetkilendirilmiştir.

Haberin tamamı için linke tıklayınız.

4. Avustralya, bankalar ve telekomlar arasında bilgi paylaşımını artırmak için harekete geçti.

Reuters’ın haberine göre, Avustralya hükümeti Avustralya telekomünikasyon şirketi Optus’a yapılan siber saldırının ardından 6 Ekim’de yeni tüketici gizliliği kurallarını yayınladı. Revize edilen kurallar telekom sağlayıcıları ve bankalar arasında hedeflenen veri paylaşımına olanak sağlamayı amaçlamaktadır. Söz konusu değişikliklere göre telekom sağlayıcıları, veri ihlalinden etkilenen müşterilere dair gelişmiş izleme yapılabilmesi için devlet tarafından verilen kimlik belgelerini bankalarla paylaşabilecek. Kurallar uyarınca, bilgiler yalnızca siber güvenlik olayına yanıt vermek gibi tek bir amaç için kullanılabilecek olup bankalar artık gerek olmadığında bilgileri imha edecek.

Haberin tamamı için linke tıklayınız.

5. ICO, anlık doğrudan pazarlama çağrıları için kılavuz yayınladı.

ICO, anlık pazarlama çağrılarını kullanan pazarlamacılar için kılavuz yayınladı. Kılavuz, pazarlamacıların 2003 Gizlilik ve Elektronik İletişim Yönetmeliği (“PECR”)’ne nasıl uyum sağlayabileceklerine ilişkin gerekli olan ve uygulanması önerilen en iyi uygulama örneklerini kapsamaktadır. Kılavuz kapsamına doğrudan pazarlama çağrılarının ne olduğuna, PECR kapsamında nelerin sağlandığına ve işletmelerin anlık çağrılarda dikkate alması gereken hususlara ilişkin genel bir değerlendirme dahildir.

Haberin tamamı için linke tıklayınız.

6. Avrupa Komisyonu, Avrupa Konseyiile Yapay Zeka (“AI”) anlaşması görüşmelerini durdurdu.

Euractiv’in haberine göre, Avrupa Komisyonu ve Avrupa Konseyi Uluslararası İnsan Hakları Grubu’nun, önerilen yapay zeka anlaşması müzakeresinde duraksama aşamasında olduğu belirtildi. Komisyon’un Avrupa Birliği (“AB”) adına müzakere etmeyi amaçlaması sebebiyle, potansiyel bir anlaşmanın AB’nin önerilen AI Yasası ile nasıl bağlantı kurduğu ve müzakereleri nasıl etkilediği konusunda sorular ortaya çıkıyor. Bir Komisyon sözcüsü tarafından, iki AI girişiminin birbirine değer kattığı ve müzakerelere yapıcı ve pragmatik bir yaklaşım sergileyeceği belirtildi.

Haberin tamamı için linke tıklayınız.

7. Avrupa Birliği Konseyi Dijital Hizmetler Yasasını onayladı.

Avrupa Birliği Konseyi Çek Başkanlığı, Dijital Hizmetler Yasası’nın nihai halinin onaylandığını duyurdu. Çek Sanayi ve Ticaret Bakanı Jozef Síkela, daha güvenli ve daha hesap verebilir bir çevrimiçi ortam için yeni standartların nasıl belirlediğini göz önünde bulundurarak, yasayı dünyadaki diğer düzenlemelere göre “altın standart” olarak lanse etti. Dijital Hizmetler Yasası, Avrupa Birliği Resmi Gazetesinde yayınlandıktan 15 ay sonra şirketlere uygulanacak. Tüm bu gelişmelerin yanında Fransa’nın Dijital Sektörden Sorumlu eski Dışişleri Bakanı Cédric O, AB’nin veri girişimlerinin etkilerini ve ABD ile paylaşılan dijital politikalardan sapmayı tartıştı.

Haberin tamamı için linke tıklayınız.

8. ABD’nin federal kurumları, ulusal yapay zeka planının uygulanmasını tartışıyor.

Nextgov’un haberine göre, Biden yönetimi ABD’nin ilk yapay zeka çerçevesini 4 Ekim’de yayınlamıştı. Yayınlanmanın ardından, birkaç federal kurumun başkanları “ulusal yapay zeka”yı uygulama planlarından bahsetti. Eğitim Bakanlığı Sekreteri Miguel Cardona ve İnsan Hizmetleri Bakanlığı Sekreteri Xavier Becerra, en büyük endişelerinin, gelecekteki hükümetlerin yapay zeka sistemlerindeki önyargı ve ayrımcılığın önlenmesi adına güvence sağlaması olduğunu belirtti.

Haberin tamamı için linke tıklayınız.

9. Alman Veri Koruma Kurumu Microsoft yazılımı kullanımı ile ilgili okullara karşı harekete geçmeyecek.

Alman Veri Koruma Kurumu Eyalet Temsilcisi Baden-Württemberg Veri Koruma ve Bilgi Özgürlüğü Komiseri (“LfDI”), okullarda Microsoft 365 kullanımı ve olası veri koruma sorunları hakkında 40 şikayet aldı. Eyalet temsilcisi okullardan yazılımlarının veri koruma yönetmeliklerine uygun olduğunu göstermelerini istediğinde 31 okul, mevcut yazılımlarını değiştirdiğini ya da mevcut öğretim yılının ilk yarısının sonuna kadar değiştireceğini bildirdi. LfDI, okulların Microsoft 365 kullanımına son vermesini önerdi.

Haberin tamamı için linke tıklayınız.

10. Arizona Adalet Bakanı 85 milyon dolarlık konum gizliliği anlaşmasına vardı.

Arizona Adalet Bakanı Mark Brnovich, konum verileri aracılığıyla kullanıcı takibi yapıldığı iddiasıyla ilgili Google ile 85 milyon dolarlık anlaşma imzalandığını duyurdu. Adalet Bakanlığı Ofisi Google’ın akıllı telefonlardan konum verilerini, kullanıcıların izleme ayarlarını devre dışı bırakmasına rağmen toplayıp kullanmasıyla ilgili tüketici iddialarının ardından 2018 yılında soruşturma başlatmıştı. Anlaşmadan elde edilen paranın birçoğu genel devlet fonuna gidecek.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

04/10/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. New York, çocuklara ilişkin mahremiyet yasasını değerlendirecek.

New York Eyalet Senatörü Andrew Gounardes tarafından New York Senatosu’na, yakın zamanda kabul edilen ve California Age-Appropriate Design Code Act. olarak adlandırılan bir çocuk mahremiyeti yasa tasarısı sunuldu. Senato Tasarısı 9563, New York Çocuk Veri Gizliliği ve Koruma Yasası, 17 yaş ve altındaki küçükleri kapsamakta olup, veri koruma etki değerlendirmeleri, varsayılan gizlilik ayarları ve çocukların veri uygulamalarına ilişkin sınırlamalar getirmektedir. Tasarı ayrıca, çocukları hedef alan reklamların yasaklanması çağrısında bulunmaktadır.

Haberin tamamı için linke tıklayınız.

2. TikTok, İngiltere Veri Otoritesi (“ICO”) tarafından verilebilecek olası 27 milyon Sterlin para cezasıyla karşı karşıya.

ICO, İngiltere’de veri koruma ihlalleri iddiasıyla TikTok’a 27 milyon Sterlin para cezası vermek istediğini açıkladı. ICO tarafından yapılan soruşturma sayesinde; reşit olmayan kişilere ait verilerin rıza alınmaksızın işlenmesi, özel nitelikli kişisel verilerin hukuka aykırı olarak işlenmesi ve yeterince şeffaf olmayan uygulamalar ile ilgili potansiyel ihlaller tespit edildi. Kurum Yetkilisi John Edwards açıklamasında “Çocukları çevrimiçi ortamda daha iyi korumaya yönelik çalışmalarımızın kuruluşlarla ortak çalışmayı içerdiğini, ancak gerektiğinde yaptırımların da uygulanabileceği hususunu açıkça belirttim.” şeklinde ifadeler kullandı.

Haberin tamamı için linke tıklayınız.

3. CNIL, sağlık veri ambarı oluşturmayı düşünen veri sorumluları için uyumluluk kontrol listesi yayınladı.

Fransa Veri Koruma Otoritesi (CNIL), sağlık veri ambarı oluşturmayı düşünen veri sorumluları için uyumluluk kontrol listesi oluşturdu. Kontrol listesi, veri sorumlularının CNIL’in referans sistemine uyumlarını doğrulamalarına yardımcı olmayı amaçlamaktadır. Bu çerçevede sorulardan ve kriterlerden herhangi birine verilecek olumsuz yanıtın, faaliyetin referans sistemine uygun olmadığı anlamına geldiği ve bu durumda veri sorumlusunun CNIL’den özel yetkilendirme talep etmesi gerektiği belirtildi.

Haberin tamamı için linke tıklayınız.

4. Google, BIPA ihlalleri nedeniyle Illinois sakinlerine ödeme yapacak.

Chicago Tribune’ün haberine göre, Google’a karşı dava açan Illinois sakinlerinin her birine 100 milyon dolarlık anlaşmanın bir parçası olarak 154 dolar verilecek. Davayı açan yaklaşık 420 bin kişilik grup, Google Fotoğraflar’ın “yüz gruplandırma aracı”nın eyalet Biyometrik Bilgi Gizlilik Yasası’nı ihlal ettiği iddiasında bulundu. Davanın hak sahipleri ise, 2015 Mayıs ve 2022 Nisan ayları arasında Illinois’de ikamet ederken Google Fotoğraflar’a yüklenen fotoğraflarda görünen kişilerdi.

Haberin tamamı için linke tıklayınız.

5. Avrupa Komisyonu, AI sorumluluk tazminatı teklifini tanıttı.

Avrupa Komisyonu, Yapay Zeka Sorumluluk Direktifi kapsamında tüketici tazminine ilişkin kuralların uyumuna yönelik teklifi kabul etti. Önerilen kurallar, tüketicilerin AI teknolojilerinin hukuka aykırı kullanımından doğan zararlar için talepte bulunmalarını sağlayacak. Komisyon iddiaların temelinin, gizlilik ihlallerinden veya güvenlik zafiyetlerinden kaynaklanan zararlar ile birlikte bir kimsenin yapay zeka teknolojisini içeren işe alım sürecinde ayrımcılığa maruz kalmasına dayanabileceğini belirtti.

Haberin tamamı için linke tıklayınız.

6. ABD temyiz mahkemesi kararı, çoklu davaların yolunu açıyor.

Bir reklam teknolojisi şirketine karşı Pensilvanya Yasalarını ihlal ettiği iddiasıyla açılan davada verilen ABD temyiz mahkemesi kararı, başka çevrimiçi şirketlere karşı davalar açılmasına neden oldu. ABD 3. Bölge Temyiz Mahkemesi; bir reklam teknolojisi şirketi olan NaviStone ve bir perakendecinin, şikayet sahibi bir kullanıcı web sitesini ziyaret ettikten sonra “anonim” web kullanıcılarına e-posta gönderen bir izleme teknolojisi kullandığı iddiasıyla Pensilvanya Telefon Dinleme Yasası’nı ihlal ettiğine karar verdi. Diğer davaları önlemek amacıyla NaviStone, mahkemeden kararını yeniden gözden geçirmesini istedi. Bunun sebebi ise, Pensilvanya’dan erişilebilen herhangi bir web sitesine karşı bu karara göre başkaca davaların da açılabilecek olmasıdır.

Haberin tamamı için linke tıklayınız.

7. Finansal Kurumlar, yetkisiz mesajlaşma servislerinin kullanımı için 1.8 milyar dolar para cezası ödeyecek.

The Wall Street Journal’ın haberine göre, on bir büyük finans kurumu, çalışanlarının kayıt tutma kurallarını ihlal eden mesajlaşma uygulamalarını kullanmalarıyla ilgili düzenleyici soruşturmaları karara bağlamak için toplamı 1.8 milyar dolardan fazla para cezası ödeyecek. Firmalar arasında Bank of America, Barclays ve Citigroup’un aracılık departmanları yer alıyor. Para cezaları, banka çalışanlarının Apple, iMessage ve WhatsApp üzerinden “yaygın kanal dışı iletişim” keşfettiğini iddia eden ABD Menkul Kıymetler ve Borsa Komisyonu tarafından uygulanmaktadır. SEC araştırmacılarının ayrıca, astlarına şirket e-postası yerine yetkisiz mesajlaşma platformlarını kullanma talimatı veren denetçiler bulduğunu bildirildi.

Haberin tamamı için linke tıklayınız.

8. ABD temsilcileri Yüz Tanıma Yasası çıkarılmasını öneriyor.

ABD Temsilcisi Ted Lieu, D-Calif., 2022 Yüz Tanıma Yasası’nın çıkarılmasını önerdi. Yasa tasarısı, kamu ve özel sektörde gerekli olan yüz tanıma teknolojisinin kullanımını düzenleyen hükümler içeriyor. Ayrıca, şeffaflık gereklilikleri, yıllık değerlendirmeler ve kolluk kuvvetlerinin kullanımına ilişkin raporlama da sağlıyor. Yasa tasarısı ile ilgili, Temsilci Lieu, Amerikan halkına şeffaflık sağlayan, ayrımcı algoritmaları önleyen, sanıkların adil yargılanma hakkı doğrultusunda korunmasını sağlayan ve teknolojinin kullanımını yalnızca gerekli vakalarla sınırlayan sağlam ve kalıcı önlemler alınması gerektiğini belirtti.

Haberin tamamı için linke tıklayınız.

9. Şirket ‘devlet odaklı’ biyometrik veri belirleme aracını piyasaya sürdü.

Biyometrik Güncelleme raporlarına göre, yeni bir çözüm, geri döndürülemez şekilde dönüştürülmüş kimlik belirteçlerini kullanarak kullanıcıların biyometrik verilerinin korunmasını güçlendirebilir. Trust Stamp, “devlet odaklı” dijital kimlik hizmetleri için dört katman gizlilik koruması sunan “Privtech”i piyasaya sürdü. Dördüncü Düzeyde, kayıt ve kimlik doğrulama işlemlerinin tamamen kullanıcının cihazında gerçekleştiği ve cihazdan yalnızca bir defalık tanımlayıcı çıktığı belirtildi. Şirket, IT2 belirteçlerini kullanmanın Privtech’in, kullanıcıyı “temel biyometrik verilerini açıklamadan” tanımlamasına izin verdiğini söyledi.

Haberin tamamı için linke tıklayınız.

10. Google Haritalar, aramalarda artırılmış gerçeklik sunuyor..

ARS Technica’nın haberine göre, Google Haritalar artık arama sonuçlarında artırılmış gerçeklik sunuyor. Arama sonuçları, kullanıcıların video akışlarında artırılmış gerçeklik işaretleri olarak görünecek. AR sistemi, bir cep telefonunun kamerasını herhangi bir yöne doğrultarak kullanılabilen Haritalar’ın Görsel Konumlandırma Sistemi tarafından desteklenmektedir. Google’ın sokak görünümü verileri koleksiyonu, kullanıcıların konumlarını tam olarak belirler, ancak bu, bir bireyin konumunu belirlemeye yönelik yoğun veri toplanan bir yöntemdir.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

27/09/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Danimarka Veri Koruma Otoritesi, Google Analytics aktarımlarına ilişkin karar verdi.

Danimarka Veri Koruma Otoritesi Datatilsynet, ek önlemler olmaksızın ABD’ye veri aktarımlarına ilişkin Google Analytics’in kullanımına son veren en yeni Avrupa Birliği otoritesi oldu. Dataltilsynet tarafından paylaşılan görüşün, denetim otoriteleri arasında pan-Avrupalı bir tutum olduğu ve uyumlu yaklaşıma yönelik önemli bir adım olduğu belirtildi. Danimarka tarafından verilen söz konusu karar Avusturya, Fransa ve İtalya tarafından verilen kararları takip eder niteliktedir. Datatilsynet tarafından Danimarkalı işletmelere, Google Analytics’in olası kullanımının Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”) çerçevesinde olup olmadığının değerlendirmeleri tavsiye edildi.

Haberin tamamı için linke tıklayınız.

2. Berlin Veri Koruma Otoritesi, Veri Koruma Görevlisi (“DPO”) ihlali nedeniyle 525 bin Euro para cezasına hükmetti.

Berlin Veri Koruma ve Haber Alma Özgürlüğü Yetkilisi tarafından, Berlin merkezli bir perakendeciye GDPR kapsamında DPO gerekliliklerinin ihlal edilmesi sebebiyle 525 bin Euro para cezasına hükmedildi. Yapılan soruşturma kapsamında, DPO’nun istihdam durumu ve karar verme sorumluluklarına ilişkin GDPR’ın 38. maddesinin 6. fıkrasını ihlal eden bir menfaat çatışmasının mevcut olduğu tespit edildi. Şirket, 2021 yılında otoriteden uyarı almıştı.

Haberin tamamı için linke tıklayınız.

3. Fransa Veri Koruma Otoritesi (CNIL), Açık Devlet Ortaklığı çalıştay girdisine dayalı olarak sivil toplum gruplarından raporlar yayınlıyor.

Fransa’nın Açık Hükümet Ortaklığı’na olan bağlılığının bir parçası olarak, CNIL, Mart ayında sivil toplum liderlerine yönelik bir dizi çalıştaya ev sahipliği yaptı. Çalıştayların amacının “veri ve özgürlüklerin korunmasına ilişkin katılım ve eylemlerin geliştirilmesi için alanlar geliştirmek” olduğu belirtildi. CNIL, sendikalar ve işçi temsilcileri, sivil haklar örgütleri ve açık kaynak topluluklarından oluşan sektörlere göre ayrılmış çalıştaylardaki paydaşlardan alınan girdilere dayanarak 16 Eylül tarihinde çok sayıda rapor yayınladı.

Haberin tamamı için linke tıklayınız.

4. ABD Menkul Kıymetler ve Borsa Komisyonu (“SEC”), iddia edilen veri koruma ve imha sorunları nedeniyle Morgan Stanley’e 35 milyon dolar para cezası verdi.

ABD Menkul Kıymetler ve Borsa Komisyonu, çok uluslu finansal hizmetler sağlayıcısı Morgan Stanley Smith ve Barney’in (“MSSB”) varlık ve varlık yönetimi bölümü ile beş yıllık bir süre boyunca yaklaşık 15 milyon müşteri için yetersiz kalan veri koruma önlemleri iddiasıyla ilgili olarak 35 milyon dolar karşılığında uzlaşma sağlandığını duyurdu. SEC, “veri imha hizmetlerinde deneyimi veya uzmanlığı olmayan” sözleşmeli bir üçüncü taraf taşıma ve depolama şirketi aracılığıyla ve MSSB’nin kendisi tarafından yol açılanlar dahil olmak üzere çeşitli veri silme sorunları olduğunu iddia ediyor. SEC Yaptırım Birimi Direktörü Gurbir Grewal, “Bugünkü eylem, finansal kurumlara (hassas) verileri koruma yükümlülüklerini ciddiye almaları gerektiği konusunda açık bir mesaj gönderiyor.”

Haberin tamamı için linke tıklayınız.

5. Almanya Federal Veri Koruma ve Bilgi Özgürlüğü Komiseri (BfDI), Avrupa Birliği Adalet Divanı’nın (ABAD) veri saklama kararını onayladı.

BfDI, Avrupa Birliği Adalet Divanı’nın veri saklama konusundaki kararını onayladı. ABAD, veri saklamanın “kişisel ağların ve bireylerin profillerinin oluşturulmasına kadar her bir bireyin kişiliğine ilişkin derin bir içgörüye olanak tanıdığını” yeniden teyit etti. BfDI, “internette etkili cezai kovuşturma” için veri saklamanın gerekli olmadığı hakkındaki görüşünü de paylaştı.

Haberin tamamı için linke tıklayınız.

6. Almanya Federal Bilgi Güvenliği Dairesi (“BSI”) otomotiv endüstrisi teknoloji raporunu yayınladı.

Almanya BSI, otomotiv durum raporunun ikinci baskısını yayımladı. Rapor, otomobillerin geleceğinin, aracın kontrolü ve otomobilin ağ altyapısı gibi bilgi teknolojileri sistemlerine daha fazla bağımlı olacağını belirtiyor. BSI, araçlardaki yeni teknolojilerin sürüş güvenliğini tehlikeye atabilecek bir siber saldırıya izin vermesinin mümkün olmadığını belirtti.

Haberin tamamı için linke tıklayınız.

7. Yapay zeka destekli dijital gizlilik şirketi 4 milyon dolarlık tohum aşaması yatırımı aldı.

MarTech Series’in haberine göre, bir dijital gizlilik firması olan Hush 4 milyon dolarlık tohum aşaması yatırımı aldı. Şirket, müşterilerine siber güvenlik sorunlarına karşı proaktif olmalarına yardımcı olabilecek üyelerin tam dijital ayak izini koruyan ve güvenlik açıklarını vurgulayan gelişmiş yapay zeka teknolojisi hizmeti veriyor. Şirket, müşterilerini yaklaşık 1.200 adet ABD merkezli veri komisyoncusu ve sosyal medya platformundan koruduğunu iddia ediyor.

Haberin tamamı için linke tıklayınız.

8. Apple’ın gizlilik tercihlerini kasten ihlal ettiği iddiasıyla Meta’ya dava açıldı.

Ars Technica’nın haberine göre, Apple iOS kullanıcıları adına gizlilik tercihlerini kasten ihmal ettikleri iddiasıyla Meta’ya iki toplu dava açıldı. Davalar, Meta’nın Facebook veya Instagram için uygulama içi tarayıcıyı kullanırken kullanıcılarının ziyaret ettiği harici web sitelerine bir izleme kodu ekleyerek kaybedilen reklam gelirini telafi etmeye çalıştığını iddia eden eski Google mühendisi Felix Krause tarafından yürütülen araştırmaya dayanıyor. Şikayette bulunan kullanıcılar, Meta’nın gizlilik risklerini küçümsediğini, iOS kullanıcılarının gizlilik tercihlerini göz ardı ettiğini ve üçüncü taraf web sitelerindeki tüm etkinlikleri takip ettiğini iddia ediyor. Meta ise yaptığı açıklamada iddiaları yalanladı.

Haberin tamamı için linke tıklayınız.

9. Maryland Sağlık Bakanlığı’nın, Genetik Mahremiyet Yasası’nı gerektiği gibi uygulamadığı iddia ediliyor.

WMAR-2 News’in haberine göre, Maryland Sağlık Bakanlığı’nın, devletin cezai soruşturmaları için Genetik Mahremiyet Yasasını gerektiği gibi uygulamadığını iddia ediliyor. Eyalet yasama organı tarafından 2021’de uygulamaya geçirilen yasa, kolluk kuvvetlerinin şüphelilerin aranması için DNA’ya dayalı soyağacı taramasında mahkeme onayını gerektiriyor. Sağlık departmanı, adli tıp uzmanları için yasa kapsamında henüz bir rehber ve asgari nitelikler öngörmedi. Ek olarak, kolluk kuvvetlerinin soruşturmalar için soy verilerine erişim sayısı, valilikten gelen bir yıllık rapordan çıkarıldı.

Haberin tamamı için linke tıklayınız.

10. Quebec’in 64. Kanun Tasarısı kapsamındaki yükümlülükler yürürlüğe giriyor.

Quebec Veri Koruma Otoritesi, eyaletin özel sektör gizlilik yasasını güncelleyen ve kanun tasarısı kapsamındaki belirli iş gereksinimlerini düzenleyen hükümlerin yürürlüğe girdiğini duyurdu. Yeni yükümlülükler arasında gizlilik görevlisi atamaları, zorunlu ihlal bildirimi, biyometrik bilgi sistemi kaydı ve kullanıcı izni istisnaları yer alıyor. Ek gereksinimler 2023 ve 2024’te yürürlüğe girecek.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

20/09/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Avrupa Birliği Konseyi, ilk Veri Yasası uzlaşma adımlarını tamamladı.

Euractiv’in haberine göre, Avrupa Birliği Konseyi Çek Başkanlığı, Veri Yasası’nın ilk taslağıyla ilgili nihai uzlaşma önerilerini sundu. Son teklifler, bulut sağlayıcı değiştirme kapsamında veri güvenliği ve saklama sürelerine, karşılıklı çalışabilirlik ve uygulama işbirliğine odaklanıyor. Konsey tarafından ayrıca, önerilen yasanın uygulamaya konulmasından iki yıl sonra Avrupa Komisyonu liderliğinde gözden geçirilmesini önerildi. Konsey’in Telekomünikasyon ve Bilgi Toplumu Çalışma Grubu 15 Eylül’de tüm Çek uzlaşma metinlerini değerlendirecek.

Haberin tamamı için linke tıklayınız.

2. Fransa Veri Koruma Otoritesi, veri güvenliği ve saklama ihlalleri nedeniyle 250 bin euro para cezası verdi.

Fransa Veri Koruma Otoritesi (“CNIL”), Avrupa Birliği Genel Veri Koruma Tüzüğü’nü (“GDPR”) ihlal ettiği için yasal hizmet sağlayıcı Infogreffe’ye 250.000 Euro para cezası verdi. Yapılan soruşturma ile, GDPR m.5/1(e) kapsamındaki veri saklama gerekliliklerinin ve m.32 kapsamındaki veri güvenliği yükümlülüklerinin ihlal edildiği tespit edildi. CNIL, Infogreffe kullanıcılarının %25’ine ait verilerin, belirtilen 36 aylık süreden daha uzun olarak web sitesi tarafından saklandığını tespit etti.

Haberin tamamı için linke tıklayınız.

3. Avrupa Birliği Konseyi ve Parlamento Dijital Piyasalar Kanunu’nu imzaladı.

Dijital Piyasalar Kanunu (“DMA”), Avrupa Birliği Konseyi ve AB Parlamentosu tarafından imzalanarak yasalaştı. DMA, yeniliği teşvik ederken “rekabetçi ve adil bir dijital sektör sağlamayı” amaçlıyor. Kanun, çevrimiçi ağ geçidi denetleyicilerini korumaya ve oyun alanını büyük ve küçük platformlar arasında dengeleyerek yenilikçi dijital işletmelerin büyümesi için bir ortam teşvik etmeye yönelik bir amaca sahip. Şirketler, son üç yılda AB içinde yıllık 7,5 milyar Euro ciroya sahipse veya 75 milyar Euro’dan fazla değere sahipse ağ geçidi denetleyicisi olarak kabul edilecek.

Haberin tamamı için linke tıklayınız.

4. California, Yaşa Uygunluk Tasarım Kodu Yasasını imzaladı.

Kaliforniya Valisi Gavin Newsom, California Yaşa Uygunluk Tasarım Kodu Yasası olan Yasa Tasarısı 2273’ü imzalayarak yasaya dönüştürdü. Newsom, yasayı çocukların çevrimiçi ortamlarda yaşadığı gerçek sorunlar konusunda girişken bir eylem olarak nitelendirirken, yasanın çocuklara ait verileri işleme limitlerine ve reşit olmayanlar tarafından erişilebilecek çevrimiçi hizmetler üzerindeki veri koruma etki analizlerine yönelik hükümlerini övdü. Vali ayrıca yasanın yürürlüğe gireceği 1 Ocak 2024’e kadar uygulamayı gözden geçirmek ve raporlamakla görevli, yasayla kurulan Çocukların Verilerini Koruma Çalışma Grubu’ndan da bahsetti.

Haberin tamamı için linke tıklayınız.

5. Avrupa Komisyonu Siber Esneklik Yasası teklifini yayınladı.

Avrupa Komisyonu, AB Siber Esneklik Yasası için bir teklif yayınladı. Teklif edilen yasa, siber güvenlik kuralları standartlarını arttırmayı ve daha ​​güvenli donanım ve yazılımı teşvik ediyor. Kanun, teklifte belirtilen ürünlerdeki zayıf siber güvenlik açıklarını ele almayı ve kullanıcıları güvenliği artırmak için kullanabilecekleri doğru ürünler hakkında bilgilendirmeyi amaçlıyor. Kanun aynı zamanda yazılım ve donanım üreticilerinin, ürünlerin tasarım aşamasından yaşam döngüsü boyunca güvenliğini artırmasının gerekliliğini hüküm altına alıyor.

Haberin tamamı için linke tıklayınız.

6. Avrupa Veri Koruma Kurulu, DPO atamalarında eşgüdümlü uygulamaya odaklanacak.

Avrupa Veri Koruma Kurulu (“EDPB”), bir sonraki eşgüdümlü uygulama eyleminin veri koruma görevlisi atamalarına odaklanacağını duyurdu. Avrupa Veri Koruma Denetçisi ile birlikte Avrupa Ekonomik Alanı’ndaki 22 denetim makamı, GDPR kapsamında DPO gerekliliklerinin henüz belirlenmemiş yönleriyle ilgili soruşturmalar başlatacak. EDPB tarafından bireysel eylemlerin; bir araya getirilmiş ve analiz edilmiş, konuya daha derin bir bakış açısı kazandırılmış ve hem ulusal hem de Avrupa Birliği düzeyinde hedeflenen sürece izin vereceği belirtildi.

Haberin tamamı için linke tıklayınız.

7. Avrupa Politika Çalışmaları Merkezi, AB Yapay Zeka Yasası Raporunu yayınladı.

Avrupa Politika Çalışmaları Merkezi, önerilen AB Yapay Zeka Yasası hakkında bir araştırma makalesi yayınladı. Yazarlar, 2023’ün ortasına kadar bir anlaşmaya varılabileceğini, ancak bunun ortak yasa koyucuların “yapay zeka tanımı, risk sınıflandırması ve ilgili düzenleyici çözümler, yönetişim düzenlemeleri ve yaptırım kuralları gibi konularda bir araya gelme yeteneğine bağlı olabileceğini” söyledi. Makale, sektöre özel kuralların sıkılaştırılması ve yasanın dayandığı risk temelli yaklaşımdaki boşlukların kapatılması da dahil olmak üzere, Yapay Zeka Yasası’nın çakışan düzenlemelerinden kaçınmak için sekiz ana öneri sunmaktadır.

Haberin tamamı için linke tıklayınız.

8. Avrupa Veri Koruma Kurulu, Avrupa Polis İşbirliği Koduna ağırlık veriyor.

Avrupa Veri Koruma Kurulu, önerilen Avrupa Polis İşbirliği Kanunu hakkındaki görüşünü yayınladı. EDPB, polis işbirliğinin üye devletler arasında güvenlik için “temel bir unsur” olduğunu kabul ettiğini ancak “tüm cezai suçlarla ilgili olarak biyometrik verilerin veya polis kayıtlarının otomatik olarak aranmasının mümkün olmaması gerektiğini” belirtti. Ek olarak, EDPB’nin önerilen Avrupa Polis Kayıtları İndeks Sistemi hakkında endişeleri mevcut çünkü bu sistem “polis kayıtlarına öngörülen sınır ötesi erişimin neden gerekli olduğunu ve uygulanması için yeterli güvenlik önlemi sağlamadığını” yeterince savunmuyor.

Haberin tamamı için linke tıklayınız.

9. Uber’in iç iletişim ve mühendislik sistemleri hacklendi.

The New York Times’ın haberine göre, Uber’in 15 Eylül’de dahili bir bilgisayar ağının saldırıya uğradığını öğrendiği ve araştırma sırasında, saldırının birkaç mühendislik ve dahili iletişim sistemini çökerttiği bildirdi. İddia edilen bilgisayar korsanının “siber güvenlik araştırmacılarına ve The New York Times’a e-posta, bulut depolama ve kod depolarının görüntülerini gönderdiği” belirtildi. Hacker ile yazışma yapan Yuga Labs Güvenlik Mühendisi Sam Curry, görünüşe göre ortada taviz verilmesi gereken bir uzlaşma bulunduğundan bahsetti. Bir kişi, hackerın Uber çalışanına kısa mesaj gönderip kurumsal bir teknoloji üst düzey yöneticisi gibi davranarak erişim kazandığını söyledi.

Haberin tamamı için linke tıklayınız.

10. Bilgi Teknolojileri Endüstri Konseyi, yapay zeka sistemlerinde şeffaflık için öneriler yayınladı.

Bilgi Teknolojileri Endüstri Konseyi (“ITI”), “Yapay Zeka Sistemlerinin Şeffaflığını Sağlamaya Yönelik Politika İlkeleri”ni yayınladı. Belge, politika üretecek kişilere hizmet etmeyi ve onları “şeffaflığın hesap verebilir ve güvenilir yapay zeka geliştirmenin kritik bir parçası olduğu” konusunda bilgilendirmeyi amaçlıyor. ITI, yapay zekadaki şeffaflığı; belirli bir sistemin nasıl inşa edildiği, çalıştırıldığı ve çalıştığı konusunda “net olmak” olarak tanımlıyor. Politika üretecek kişiler için önemli tavsiyelerden biri, halkın belirli bir yapay zeka sisteminin aldığı kararları anlayabilmesi için bilgi sunan ve kararları gözden geçirme veya itiraz etme becerisine sahip kurallar oluşturmasıdır. Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

13/09/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Hollanda Bakanlığı Avrupa Birliği’nin Genel Veri Koruma Tüzüğü (“GDPR”) uygulamasına ilişkin bir rapor yayınladı.

Hollanda Adalet ve Güvenlik Bakanlığı Bilimsel Araştırma ve Dokümantasyon Merkezi, Hollanda’da Avrupa Birliği’nin GDPR uygulamasına ilişkin bir inceleme yayınladı. Hükümet tarafından desteklenen söz konusu çalışma ile, Hollanda Veri Koruma Otoritesi Autoriteit Persoonsgegevens’in uygulama politikalarıyla ilgili 16 adet soru araştırıldı. Araştırma sonuçları; sektöre özgü net kurallar ve normlarla ilgili olası sorunlar, öngörülemeyen uygulama modelleri ve veri ihlali bildirimi yaptırımlarına yönelik rahat yaklaşımla ilgili potansiyel sorunları gösterdi.

Haberin tamamı için linke tıklayınız.

2. Toplu dava statüsü verilmesi muhtemel bir dava ile, Walmart tarafından Illinois Biyometrik Veri Gizliliği Yasası (“BIPA”) kurallarının ihlal edildiği iddia ediliyor.

Yakın zamanda açılan ve toplu dava statüsü verilmesi muhtemel olan bir dava ile Walmart’ın BIPA kurallarını ihlal ettiği iddia ediliyor. Illinois’de ikamet eden James Luthe tarafından yapılan şikayet ile, Walmart tarafından yasadışı şekilde gelişmiş video gözetim sistemleri, kameralar ve Clearview AI tarafından sağlanan yazılım veritabanı kullanıldığı iddia ediliyor. Walmart’ın Illinois mağazası tarafından BIPA’in gerekliliklerine uygun olmayan şekilde, Luthe ve diğer Illinois vatandaşlarının rızası olmadan, biyometrik verilerin yasadışı olarak toplandığı, depolandığı ve kullanıldığı iddia ediliyor.

Haberin tamamı için linke tıklayınız.

3. Oklahoma Öğrenci Kredi Otoritesi teknoloji sağlayıcısı hacklendi.

Bleeping Computer’ın haberine göre, Oklahoma Öğrenci Kredi Otoritesi’nin teknoloji sağlayıcısı 2.5 milyon insanın kişisel olarak tanımlanabilir bilgilerinin açığa çıktığı bir veri ihlaline maruz kaldı. Hackerlar tarafından Haziran’da hedef alınan Nelnet’in şirket ağı muhtemelen tehlikeye atıldı ve hackerlar 22 Temmuz’a kadar şirket sistemlerinde kaldı. Nelnet, Öğrenci Kredi Enstitülerinden OSLA ve EdFinancial’a teknoloji servisi sağlıyor. OSLA ve EdFinancial, ihlale yanıt olarak, ihlalden etkilenen kişilere 2 yıllık ücretsiz kimlik hırsızlığı koruması teklifinde bulundu.

Haberin tamamı için linke tıklayınız.

4. Endonezya Kişisel Verileri Koruma yasa tasarısını onaylama sürecine girdi.

Endonezya Temsilciler Meclisi’nin açıklamasına göre; Savunma Bakanlığı, Dışişleri, İletişim ve Bilgi Bakanlığı arasındaki anlaşmayı duyurdu. Anlaşma sonucunda Kişisel Verileri Koruma yasa tasarısının, Genel Kurul’un derhal toplanmasıyla yasa olarak onaylanmasına karar verildi. Bilgi ve İletişim bakanı Johnny Plate konuşmasında, Kişisel Verileri Koruma Kanununun kişisel verilerin korunmasının önemini arttırırken aynı zamanda toplum bilincini de sağlayacağını vurguladı. Hukukçular ve bakanlık yetkilileri yakın zamanda Endonezya Veri Koruma Otoritesi oluşturmak için anlaşmaya vardı.

Haberin tamamı için linke tıklayınız.

5. Alman bölge mahkemesi, Amerika’daki ana şirketin Lüksemburg’da bulunan bağlı şirketine yapılacak hastane veri aktarımlarını engelledi.

Almanya’nın Karlsruhe kentindeki Yüksek Bölge Mahkemesi, Baden-Württemberg Kamu İhale Odası’nın, hastanelerin dijital taburcu etme yönetimi kapsamında Lüksemburg’da veri depolaması hakkında verdiği izin kararını bozdu. Baden-Württemberg’deki iki belediye hastanesi, Amerika’daki ana şirketin Lüksemburg’da bulunan bağlı şirketine verileri aktarmak için aralarında bir sözleşme yapmışlardı. İlgili kararın bozulma gerekçesi olarak üçüncü bir ülkeye yasadışı veri aktarımının GDPR ihlali olması belirtildi.

Haberin tamamı için linke tıklayınız.

6. Fransız Veri Koruma Otoritesi (“CNIL”), dijital tokenlerle kimlik doğrulama için rehber oluşturdu.

CNIL, dijital tokenle kimlik doğrulamanın yönlendirmeleri ve iyi uygulamalar içeren bir rehber yayınladı. CNIL; hyperlinklerden oluşan erişim tokenlerinin “internet üzerindeki kişisel verilere kesintisiz erişim” sağlamak için bir “ağ geçidi” görevi görebileceğinden bahisle, bu durumun bir güvenlik riski teşkil edebileceğini belirtti. İki faktörlü kimlik doğrulaması olmadan, bireysel belirleyici tokenlerin veri güvenliği açısından yüksek risk teşkil edeceği konusunda uyarılarda bulundu. CNIL bu tehlikelere karşı, bir tokenin ne kadar süreyle geçerli olabileceğine dair bir belirli süre tanımlanması ve tokenlerin kişisel veri içermeyen bir doğrulama linkiyle kullanılması gerektiği şeklinde tavsiyeler verdi.

Haberin tamamı için linke tıklayınız.

7. Avrupa Komisyonu, Nesnelerin İnterneti siber güvenlik kurallarını tanıtacak.

Euractiv’in haberine göre; Avrupa Komisyonu, bağlanabilen cihazlar için öngörülen temel siber güvenlik gereksinimlerini ortaya koyan “Siber Esneklik Yasası”nı yakında tanıtacak. Taslak yasa metni; dijital ürünler ve onların veri işleme çözümleri ile, sektör bazında regüle edilen ürünler hakkında muafiyetleri içeriyor. Ürün tasarımı ve geliştirme süreçleri için önerilen güvenlik gereksinimleri; verilerin gizliliğinin sağlanması, şifreleme ve amaç sınırlama ilkelerini kapsıyor. Eğer yasa teklifi kabul edilirse, yürürlüğe girdikten 24 ay sonra; üreticilerin bildirim yükümlülükleri ise yürürlüğe girdikten bir yıl sonra geçerli hale gelecektir.

Haberin tamamı için linke tıklayınız.

8. Yeni Güney Galler Gizlilik Yasası, okulların öğrencilerin parmak izlerini toplaması ile ilgili hukuk boşlukları içeriyor.

Salinger Privacy’nin haberine göre, Avusturalya’nın federal Gizlilik Yasasındaki hukuk boşluğu, Yeni Güney Galler’deki devlet okulu öğrencilerinin parmak izlerinin toplanmasına izin verilen bir hukuk boşluğu bulunuyor. Okul düzenlemeleri, Avusturalya’nın Gizlilik Yasası değil, Yeni Güney Galler’in Gizlilik yasası kapsamında. Ancak, devlet okullarının, öğrencilerinin parmak izini hukuka uygun olarak tarayabilmesi için devletin 1998 tarihli Gizlilik ve Kişisel Verileri Koruma Yasası’na uymaları gerekmekte olduğu belirtildi. Eyalet yasası, Yeni Güney Galler Eğitim Departmanının mahremiyet etki değerlendirmesi yapmasını gerektirmediği gibi öğrencilerin biyometrik verilerini toplamak için rızalarının alınmasını da gerektirmiyor.

Haberin tamamı için linke tıklayınız.

9. Çocuk Reklamları İnceleme Birimi (“CARU”), çocuklara yönelik oyun uygulaması üreticisinin COPPA’i ihlal ettiğini belirtti.

BBB Ulusal Programları Çocuk Reklamları İnceleme Birimi, bir çocuk mobil uygulama oyunu sahibinin ABD Çocukların Çevrimiçi Gizliliğini Koruma Yasası’nı ihlal ettiğini tespit etti. Tilting Point Media şirketi, CARU’nun Reklamcılık ve Çocukların Çevrimiçi Gizliliğinin Korunması için hazırlanan iç-düzenleme yönergesini de ihlal etti. COPPA ve CARU yönergelerine göre, şirketlerin 13 yaş altı kullanıcıların kişisel verilerini toplamaları yasaktır. Ancak, CARU denetmenleri, 10 yaşında bir çocukmuş gibi uygulamayı kullanarak kişiselleştirilmiş reklamlara onay verebildiler CARU’nun yapmış olduğu bildirimlerden sonra Tilting Point ortaya çıkan endişelere yönelik aktif adımlar atmaya başladı.

Haberin tamamı için linke tıklayınız.

10. Birleşik Krallık Veri Koruma Otoritesi (“ICO”), Gizliliği Artırılmış Teknolojiler (“PETs”)’e ilişkin taslak rehber yayınladı.

ICO anonimleştirme, takma ad verme ve gizliliği artırılmış teknolojilere ilişkin taslak rehber yayınladı. Rehber, büyük işletmelerde çalışan veri koruma görevlilerine hizmet etmeyi amaçlıyor. Taslak rehber uyarınca PETs, veri işleme faaliyetleri açısından tasarım yoluyla (by design) ve varsayılan olarak (by default) veri koruması yaklaşımı göstermede yardımcı olmaktadır. PETs ayrıca, işletmelerin veri minimalizasyon ilkelerine uymaları konusunda da yardımcı olmaktadır. Rehberde, PETs’in veri koruma yasalarına uymak için bir sihirli değnek olmadığı, veri işlemenin hala yasal, adil ve şeffaf olması gerektiği vurgulanmıştır.

Haberin tamamı için linke tıklayınız.

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılması

06/09/2022

Kişilerin Ad ve Soyadı ile Arama Motorları Üzerinden Yapılan Aramalarda Çıkan Sonuçların İndeksten Çıkarılması

Arama sonucu kimin hakkında?

Bazen kamuda önemli rolü olan kişiler son gelişmeleri öğrenmek için arama motorlarını kullanabiliyoruz. Bu sayede son dakika haberlerine, sosyal medyada yayınladıkları yeni fotoğrafa, kamusal bir olay hakkında beyan ettikleri görüşlere ulaşabiliyoruz. Hakkında ortaya çıkan bilgilerin kamunun bilgisine sunulmasında toplumun üstün menfaati bulunan kamuya mal olmuş kişilerin, arama motorlarında yapılan aramalarda haklarında çıkan sonuçların kaldırılmasını istediklerinde kabul edilme olasılığı düşüktür. Siyasetçilerin, üst düzey kamu yöneticilerinin, iş adamlarının, ünlü sanatçı ve sporcuların, dini liderlerin ve bazı meslekleri icra eden kişilerin kamusal hayatta rol oynadıkları kabul edilmektedir.

Ancak, kamusal yaşamdaki rolüne bakılmaksızın, ilgili kişinin özel yaşamı ile ilgili bilgilere ilişkin başvuruların arama sonuçlarından kaldırılması daha muhtemeldir. Çünkü, somut olayın şartlarına göre, kişinin özel hayatı ile kamuda oynadığı rol birbiriyle alakasız kabul edilebilmektedir.

Bilginin içeriği doğru ve güncel mi?

Yalnızca yayınlanmasından hoşlanmadığınız bir haberi kaldırtmaya ilişkin talebinizin karşılanması çok da mümkün olmayabilir. Oysaki internet sitesinde sitede yer alan bilginin doğru olmaması veya yanıltıcı olması başvuruların kabul edilme olasılığını yükseltir. Burada önemli olan husus, kişinin kendisi hakkındaki bilginin yanlışlığını ispat etmesidir. Öte yandan, bilginin doğruluğu konusunda bir ihtilaf varsa, süreç tamamlanıncaya kadar bu hususta herhangi bir eylemde bulunulmaması yoluna gidilmesi de mümkündür.

Bilginin doğruluğu kadar, bilginin güncelliği de önemlidir. Aradan uzun bir zaman geçmesi verinin güncelliğini yitirmesine neden olabilmekte, ya da bilginin konu ile ilgisi azalabilmektedir. Bu durum da verinin işlenme amacı ile olan bağını koparabilir. Bu nedenle, aradan uzunca bir zaman geçmesi kaldırılma taleplerinin kabul edilme ihtimalini artırır.

Arama sonucunda kişinin hangi verileri yer almakta?

Özel nitelikli kişisel veriler toplum tarafından öğrenilirse kişinin mağdur olabilmesine ya da ayrımcılığa maruz kalmasına neden olabilecek nitelikteki verilerdir. Bu kapsamda, kişilerin hassas (cinsel hayata, dini inancına, sağlığına ilişkin bilgiler vb) bilgilerinin arama motorlarından bağlantılarının kaldırılmasına yönelik taleplerin kabul görme olasılığı özel nitelikli olmayan kişisel verilere göre daha yüksektir. Bununla birlikte, kamuya mal olmuş kişilerin özel nitelikli verileri söz konusu olduğunda ise toplumun bu bilgilere erişmedeki menfaatinin ilgili kişinin haklarına üstün gelip gelmediğinin ayrıca değerlendirilmesi gerekebilir.

Bunun yanı sıra özel nitelikli kişisel veri olmamakla birlikte, kişiyi tanımlayıcı bilgileri (adres, telefon numarası, parola vb), mali bilgileri gibi bireyin mahremiyetinin ön plana çıktığı bilgilere ilişkin bu yöndeki taleplerin kabul görme olasılığı da yine yüksek olarak değerlendirilmektedir. Bunun nedeni ulaşılan bilgilerin kişiyi kimlik hırsızlığı veya takip edilme gibi risklere açık hale getirmesidir.

Bilgi, gazetecilik faaliyeti kapsamında işlenen verileri mi kapsıyor?

Basın özgürlüğü görüş ve düşünceleri, yazılı ve görsel biçimde, basın ve yayın yoluyla, yerli ve yabancı tüm muhataplarına açıklayabilme ve yayabilme hakkı şeklinde kendini gösteren bir temel hak ve özgürlüktür. Basın özgürlüğü kavramı; toplumun bilgiye ulaşması ve yorum süzgecinden geçirdikten sonra kendi düşüncelerini ifade edebilmesi açısından ifade özgürlüğü kavramıyla bir bütün halinde değerlendirilmelidir.

Böyle bir durumda, Anayasada koruma altına alınan şeref ve itibarın korunmasını isteme hakkı ile basın özgürlüğü ve ifade özgürlüğü arasında denge kurulması gerekmektedir. Söz konusu haber ya da düşüncelerin kamu yararına ilişkin bir tartışmaya katkı yapması ya da konu alınan kişinin toplumdaki rol veya fonksiyonu ile röportaj ya da fotoğrafa konu faaliyetin niteliği bu kriterlere örnek gösterilebilir.

Bu kapsamda, kamunun arama sonuçlarına erişiminin sağlanması önemli olmakla birlikte, başkalarının özel ve aile hayatlarının korunması için konulan sınırların da aşılmaması gerekmektedir. Bu durumlarda, gazetecilik içeriğiyle ilgili olarak arama sonuçlarının kaldırılması da mümkün olabilecektir. Dolayısıyla, her bir şikayet özelinde yarışan menfaatler arasında bir değerlendirme yapılması gerekliliği gündeme gelecektir.

Sonuç

İnternette birçok kişisel verimiz işlenmekte ve Anayasa uyarınca bu veriler üzerinde belirli haklara sahibiz. Anayasa’nın 20. maddesine 2010 Anayasa değişikliği ile eklenen “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar.” hükmünde kişisel verilerimiz üzerindeki haklarımız sayılmıştır. Ancak verilerimiz üstündeki hakimiyetimiz sınırsız değil. Basın özgürlüğü ve ifade özgürlüğü de temel haklarımızdan olmakla birlikte kamuya büyük yararları vardır. Kişilerin ad ve soyadı ile yapılan aramalarda çıkan sonuçların kaldırılması, içeriğin niteliğine göre ifade özgürlüğünü/basın özgürlüğünü ihlal edebilmektedir. Bu sebepten ötürü, açıklanan kriterler ışığında her olay kendi özelinde değerlendirilip, hakkaniyete uygun bir karar verilmelidir.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

06/09/2022

1. İsveç Veri Koruma Otoritesi, merkezi olmayan yapay zeka için pilot program oluşturuyor.

İsveç Veri Koruma Otoritesi Integritetsskyddsmyndigheten (IMY); Sahlgrenska Üniversite Hastanesi, Halland Bölgesi ve İsveç Yapay Zeka Çalışma Merkezi (AI Sweden) ile pilot proje başlattı. IMY, üç ortağa merkezi olmayan yapay zeka için yasal rehberlik edecek. Yapay zeka kullanılarak potansiyel gizlilik ve kişisel veri koruma tuzaklarının önüne geçmek için, proje ile kuruluşların IMY gözetimi altında potansiyel yapay zeka kullanımlarını test etmesine izin verilecek.

Haberin tamamı için linke tıklayınız.

2. Facebook, kullanıcı verilerinin üçüncü taraflara satışı nedeniyle açılan davada anlaşma yoluna gidiyor.

Reuters’in haberine göre, üçüncü tarafların özel kullanıcı verilerine erişmesine izin vermesine ilişkin federal toplu davada anlaşmaya varmayı ve tazminat ödemeyi kabul etti. Üçüncü taraflar arasında artık kapalı olan İngiltere’de kurulu siyasi danışmanlık firması Cambridge Analytica da yer alıyor. Taraflar, anlaşmanın yazılı olarak sonuçlandırılması için 60 gün talep ettikleri için uzlaşmanın şartları henüz açıklanmadı.

Haberin tamamı için linke tıklayınız.

3. Mobil ödeme uygulaması ana şirketi hakkında veri ihlali davası açıldı.

IT Pro’nun haberine göre; teknoloji şirketi Block, bir veri ihlaline verdiği ve henüz kanıtlanmayan tepkisi için toplu dava ile karşı karşıya. Davacılar, Block’un mobil ödeme hizmeti Cash App uygulamasına ilişkin veri ihlalini müşterilerine bildirmek için dört ay beklediğini iddia ediyor. Block tarafından Aralık ayında, eski bir çalışanın kullanıcı bilgilerini indirdiği ve müşteri adlarına, aracı kurum hesap numaralarına ve ticaret faaliyetlerine erişebildiği tespit edildi. Yapılan şikayet ile Block, California Müşteri Kayıtları Yasası da dahil olmak üzere çeşitli eyaletlerin tüketici koruma yasalarını ihlal etmekle suçlanıyor.

Haberin tamamı için linke tıklayınız.

4. Avrupa Veri Koruma Kurulu Başkanı Jelinek, Avrupa Birliği GDPR yaptırımı ve sınır ötesi veri akışları hakkında konuştu.

Avrupa Veri Koruma Kurulu Başkanı Andrea Jelinek, Netzpolitik ile yaptığı röportajda; yetkililerin çok iyi ve olağan sınır ötesi işbirliğine sahip olduklarını söyleyerek Avrupa Birliği Genel Veri Koruma Tüzüğü GDPR’ın uyumlu bir şekilde uygulandığını belirtti. GDPR’ın güncellenmesi hakkında, Avrupa Birliğinin veri koruma bakımından işlevsel bir sisteme sahip olduğunu ancak rejimin her zaman biraz daha canlandırılabileceğini ifade etti. Jelinek, İrlanda Veri Koruma Komisyonu’nun Meta ile ilgili Avrupa Birliği ve Amerika Birleşik Devletleri arasında gerçekleşen veri akışı konulu davası hakkında, bahse konu davada tamamen normal bir yasal prosedürün izleneceği ve davanın yüksek olasılıkla Avrupa Birliği Adalet Divanı’nda sona ereceğini belirtti.

Haberin tamamı için linke tıklayınız.

5. ICO, kişisel yaralanma içeren araba kazası verilerinin çalınmasına ilişkin cezai soruşturma başlattı.

İngiltere Veri Koruma Otoritesi (ICO), araba tamirhanelerinden kişisel yaralanma verilerini ihlal ettiği iddia edilen sekiz kişi hakkında cezai soruşturma başlattı. İhlallerin, Aralık 2014 ile Kasım 2017 arasında gerçekleştiği ve yüz binlerce insanı etkilediği iddia ediliyor. ICO, hackerların ilgili verileri “kişisel yaralanma davalarında potansiyel müşteri oluşturmak” için ihlal ettiğini iddia ediyor. Bu kişiler, 1990 tarihli “Bilgisayarın Kötüye Kullanımı Yasası” kapsamında bilgisayarlarda tutulan kişisel verilere yasa dışı erişim ve 1998 tarihli Veri Koruma Yasası uyarınca kişisel verilerin yasa dışı olarak elde edilmesi ile suçlanıyor.

Haberin tamamı için linke tıklayınız.

6. ​​İsviçre Federal Konseyi, revize edilmiş Veri Koruma Yasasının uygulanmasına zemin hazırlıyor.

İsviçre’nin revize edilmiş Veri Koruma Yasası, Federal Konsey tarafından alınan bir kararın ardından 1 Eylül 2023’te yürürlüğe girecek. Güncellenen Veri Koruma Yönetmelikleri (OPDo) ve Veri Koruma Sertifikaları (OCPD) da revize edilen yasanın bir parçası olarak uygulamaya girecek. Veri Koruma Yönetmelikleri kabul edilmeden önce, erişim haklarına ilişkin veri sorumlularının yükümlülükleriyle ilgili güncellemeler içerecek şekilde tamamen revize edildi. İlgili güncellemelerden sonra, artık veri sorumlularının iletişimin reddedilmesi, kısıtlanması veya ertelenmesi nedenlerini belgelemeleri gerekmemekte.

Haberin tamamı için linke tıklayınız.

7. FTC, Kochava’ya coğrafi konum verilerinin satışı iddiasıyla dava açtı.

ABD Federal Ticaret Komisyonu (“FTC”), bireyleri hassas nitelikteki konumlara kadar takip etmek için kullanılabilecek coğrafi konum verilerinin satışı iddiasıyla Kochava’ya dava açtı. Komisyon, ilgili verilerin “üreme sağlığı kliniklerine, ibadet yerlerine, evsizlerin ve aile içi şiddet mağdurlarının sığınma evlerine ve bağımlılık iyileştirme tesislerine yapılan ziyaretler” hakkında çıkarım yapılabilinen veriler olduğunu iddia ediyor. FTC, satışların ve onu takip eden izlemenin “damgalanma, takip, ayrımcılık, iş kaybı ve hatta fiziksel şiddet tehditlerine” olanak tanıdığını belirtti.

Haberin tamamı için linke tıklayınız.

8. Avrupa Tüketici Örgütü , AB-Yeni Zelanda Ticaret Anlaşmasındaki veri koruma önlemlerini destekliyor.

Avrupa Tüketici Örgütü, AB-Yeni Zelanda Ticaret Anlaşması hakkında, anlaşma kapsamında kişisel veriler için güçlü korumaları vurgulayan bir görüş belgesi yayınladı. AB ve Yeni Zelanda arasındaki anlaşma gereğince, kişisel veriler sınırların ötesine geçtiğinde veri korumasını “birinci öncelik” olarak gördüğünü ve Yeni Zelanda’nın anlaşma öncesinde “şirketler için daha esnek bir yaklaşım” sürdürdüğünü belirtti.

Haberin tamamı için linke tıklayınız.

9. Çinli teknoloji şirketi veri ihlali, potansiyel olarak 800 milyon kaydı etkiliyor.

TechCrunch’ın haberine göre, Çinli teknoloji şirketi Xinai Electronics’in yüz görüntüleri ve plakalarını sakladığı veri tabanına ilişkin “büyük çapta” bir veri ihlali yaşandı. İhlalin, Haziran ayında gerçekleşen Şanghay Polis veritabanı ihlalinden sonra Çin’deki en büyük ikinci ihlal olduğuna inanılıyor. Xinai veritabanı azami 800 milyondan fazla kayıt içermekteydi. İhlal, “muhtemel” insan hatasına bağlandı.

Haberin tamamı için linke tıklayınız.

10. British Columbia Bilgi ve Gizlilik Komiserliği Ofisi, siyasi kampanyalar için kılavuz önerdi.

British Columbia Bilgi ve Gizlilik Komiserliği Ofisi (“OIPC”), siyasi adaylar ve onların personeli için kişisel bilgilerin kampanya amaçları doğrultusunda ele alınmasına ilişkin kılavuz yayınladı. Kılavuz içeriğinde; veri toplama, kullanma ve saklamaya ilişkin kural ve ilkelerin yanı sıra işleme faaliyetlerine dair rıza gereklilikleri de tartışılmakta. OIPC, kampanya faaliyetlerinde kişisel verilerin işlenmesi için tercih edilebilecek en iyi uygulamanın “toplanan kişisel bilgilerin miktarının en aza indirgenmesi ve her türlü kişisel bilgi için en güçlü koruma yöntemlerinin kullanılması” olduğunu belirtti.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

30/08/2022

1. ICO küçük çaplı işletmelerin ilgili kişi başvurularına yanıt vermeleri için kılavuz yayımladı.

İngiltere Veri Koruma Otoritesi (ICO) ilgili kişi başvuruları alan küçük işletmeler ile ilgili altı adımlı bir kılavuz yayımladı. Söz konusu adımlar; şikayetin alındığının onaylanması, şikayetle ilgili sorunun tespiti, ilgili kişiye yönelik gerekli güncellemelerin yapılması, başvuruya ilişkin cevap olarak alınan aksiyonların kayıt altına alınması, ilgili kişiye soruşturma sonucu ile ilgili resmi bir cevap verilmesi ve alınması gereken derslerin gözden geçirilmesi şeklindedir.

Haberin tamamı için linke tıklayınız.

2. Avrupa Birliği politikacıları, veri yerelleştirilmesine karşı sınır ötesi aktarımları değerlendiriyor.

İki yıl önce Avrupa Birliği Adalet Divanı tarafından Gizlilik Kalkanı’nın geçersiz kılınmasına rağmen, yasal çerçevede hukuka uygun bir şekilde AB-ABD arasında veri aktarımına dair çalışmalar hala devam ediyor. Müzakereler ilerlerken Avrupa Birliği politikacıları arasında dijital egemenliğin korunmasına yardımcı olmak amacıyla veri yerelleştirmesine yönelik potansiyel bir geçiş hakkında tartışmalar yaşanıyor.

Haberin tamamı için linke tıklayınız.

3. Snapchat’in Illinois Biyometrik Bilgi Gizlilik Yasası davası ve Meta’nın kullanıcı konum verileri toplama davası sonuçlandı.

The Verge’nin haberine göre, Snapchat şirketi Illinois Biyometrik Bilgi Gizlilik Yasası’nı (BIPA) ihlal edildiği iddia edilen toplu davada 35 milyon dolarlık bir anlaşmayı kabul etti. Davada, Snapchat filtrelerinin kullanıcılara ait biyometrik verileri, kullanıcıların bilgisi veya rızası olmadan toplayarak ve saklayarak BIPA’yı ihlal ettiği iddia edildi.

Reuters’ın haberine göre, söz konusu özelliği kullanıcılar cihazlarında devre dışı bıraksa dahi onlara ait konum verilerinin toplandığı ile ilgili iddiaları içeren dava sonuçlandı. Meta, Facebook’un California yasasını ve kendi gizlilik bildirimini ihlal ettiğine ilişkin iddiaların ortadan kaldırılması için 37.5 milyon dolar ödeyecek.

Haberin tamamı için linke tıklayınız.

4. Türkiye Kişisel Verileri Koruma Kurumu genetik verilerin işlenmesi için taslak rehberler oluşturuyor.

Türkiye Veri Koruma Otoritesi Kişisel Verileri Koruma Kurumu (KVKK) genetik verilerin işlenmesi için taslak rehber yayımladı. KVKK tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında genetik veriler, “özel nitelikli kişisel veriler” kapsamında değerlendirildi. KVKK, genetik verilerin yanlış kullanılması hem bireyler hem de ulusal güvenlik ve ekonomi için olumsuz sonuçlar doğurabileceğinden bahisle “genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanmasının yanı sıra toplumsal alanda farkındalık yaratılmasının da gerekli olduğunu” belirtti.

Haberin tamamı için linke tıklayınız.

5. AB savunma grubu, Google’ın kullanıcılara karşı tarafın rızası olmadan reklam e-postaları gönderdiğini iddia ediyor.

Reuters’ın haberine göre, Avusturya tüketici savunma grubu NOYB’nin, Google’ın bir AB mahkeme emrini ihlal ettiği iddiasına ilişkin Fransa Veri Koruma Otoritesi CNIL’a şikayette bulunduğunu bildirdi. Şikayette, Google’ın karşı tarafın rızası olmadan gönderilen reklam e-postalarını doğrudan Avrupalı G-mail kullanıcılarına gönderdiği iddia edildi. CNIL’ın Google aleyhine karar verme ihtimalinde, söz konusu karar yalnızca Fransız G-mail kullanıcıları için geçerli olacak olup böyle bir karar Google’ı, Avrupa Birliği genelindeki uygulamalarının yeniden değerlendirilmesi açısından yaptırım gücüne sahip olacaktır.

Haberin tamamı için linke tıklayınız.

6. Avrupa Birliği Konseyi yeni Veri Yasası uzlaşma metni teklif ediyor.

Euractiv’in haberine göre; Avrupa Birliği Konseyi Çek Başkanlığı, teklif edilen Veri Yasası için güncel uzlaşma metnini yayınladı. Son düzenlemeler, kamu kurumlarının özel olarak tutulan verilere erişim talep etmesine izin veren koşullarda değişiklikler sunmakta. Teklif, çoğu AB kurumunu yasa kapsamındaki yükümlülüklerden kurtarmakta ve istisnai durumlarda kamu kurumlarının özel şirketlerden gelen verileri kullanmasına izin veren hükümler getirmekte.

Haberin tamamı için linke tıklayınız.

7. Senacon, Cambridge Analytica skandalıyla ilgili Facebook’a 6.6 milyon para cezası verdi.

Brezilya Ulusal Tüketici Sekreterliği Senacon, 2018 Cambridge Analytica skandalına karışan 443 bin Brezilya vatandaşıyla ilgili olarak, Facebook’a 6.6 milyon para cezası verildiğini açıkladı. Senacon, Temmuz ayında “gizlilik ayarları hakkında bilgilendirme yanlışlıkları”na ilişkin davadan dönmüştü, ancak son durumda Facebook’un kanuna aykırı uygulamalara devam etmesinin ardından cezayı vermeye karar verdi. Facebook’un, temyiz yolundan vazgeçmesi ceza %25 oranında düşebilir.

Haberin tamamı için linke tıklayınız.

8. OCR, HIPAA Gizlilik Kuralı ihlalleri nedeniyle 300.640 ABD doları tutarında para cezası verdi.

ABD Sağlık ve İnsan Hizmetleri Departmanı Sivil Haklar Ofisi (The U.S. Department of Health and Human Services Office for Civil Rights), New England Dermatoloji ve Lazer Merkezi’ne Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) Gizlilik Kuralını ihlal ettiği gerekçesiyle 300.640 dolar para cezası verdi. Sağlık merkezinin, numune kaplarını atarken hasta isimleri, doğum tarihleri, numune toplama tarihleri ​​ve numuneyi alan sağlayıcının adını taşıyan etiketler ile birlikte atarak korunan sağlık bilgilerini uygun olmayan şekilde sildiği tespit edildi. OCR, cezaya ek olarak, New England Dermatoloji ve Lazer Merkezi’ne (NEDLC) iki yıllık Kurum izlemesiyle vurgulanan bir düzeltici eylem planı sundu.

Haberin tamamı için linke tıklayınız.

9. Mobil ödeme uygulaması ana şirketi veri ihlal bildirimi nedeniyle dava edildi.

IT Pro’nun haberine göre; Teknoloji şirketi Block, bir veri ihlal bildirimi ile ilgili toplu davayla karşı karşıya. Davacılar, Block’un müşterilerine mobil ödeme hizmeti Cash App uygulamasının ihlalini bildirmek için dört ay beklediğini iddia ediyor. Aralık ayında Block, eski bir çalışanın kullanıcı bilgilerini indirdiğini ve müşteri adlarına, aracı kurum hesap numaralarına ve ticaret faaliyetlerine erişebildiğini keşfetti. Şikayet, Block’u California Tüketici Gizliliği Yasası (CCPA) da dahil olmak üzere çeşitli eyalet tüketici koruma yasalarını ihlal etmekle suçluyor.

Haberin tamamı için linke tıklayınız.

10. Lüksemburg’un Ulusal Veri Koruma Otoritesi (CNPD) veri koruma görevlisi (DPO) gerekliliği konusunda uyarılar yayınlıyor.

Lüksemburg Ulusal Veri Koruma Otoritesi (CNPD), Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında DPO gerekliliğine ilişkin belediyelere bir hatırlatma yayınladı. CNPD, DPO ile ilgili yükümlülüklerinin bazı belediyeler tarafından henüz yerine getirilmediğini tespit etti ve onları GDPR’nin 37.1(a) maddesine uymaları gerektiği konusunda bilgilendirmeye başladı. Ayrıca, CNPD’nin belirlediği tarihe kadar belediyelerin DPO’ların iletişim bilgilerini Kurum’a bildirmeleri gerekiyor.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

23/08/2022

1. EDPB, CNIL tarafından verilen para cezasına ilişkin 65. Madde kararını yayınladı.

Avrupa Veri Koruma Kurulu, Fransa’nın veri koruma makamı olan Commission nationale de l’informatique et des libertes (CNIL) tarafından verilen 600.000 euro para cezasına ilişkin uyuşmazlık çözüm mekanizması olan AB Genel Veri Koruma Tüzüğü’nün 65. Maddesi kapsamında bağlayıcı bir karar yayınladı. 65. Madde prosedürü, ilgili teftiş makamlarının teklif ettiği CNIL para cezası toplamına ilişkin sorunlar tarafından tetiklenmiştir. Cezaya konu olan Fransız otel zinciri Accor’un ihlali ise, müşterilere rıza dışı pazarlama mesajlarının gönderilmesi iddiasından kaynaklanmıştı.

Haberin tamamı için linke tıklayınız.

2. Slovenya’nın veri koruma yetkilisi kişisel veri kavramını açıklayan infografik oluşturuyor.

Slovenya’nın veri koruma yetkilisi The Information Commissioner (IP), kişisel veri kavramını açıklayan bir infografik oluşturdu. İnfografik, şirketlerine eğitim vermek üzere kişilerin verilerini işlemeye yetkili birine yardımcı olmayı amaçlamaktadır. Ajans ayrıca, kişiye özgü tanımlanan verilerin korunmasının öneminin altını çizmek için takma adlı (pseudonymized) ve anonimleştirilmiş veriler arasındaki farkı ayrıntılı olarak açıkladı.

Haberin tamamı için linke tıklayınız.

3. Birleşik Krallık DCMS, veri ihlallerine maruz kalan kuruluşları inceleyen nitelikli bir rapor yayınladı.

Birleşik Krallık Dijital, Kültür, Medya ve Spor Bakanlığı (“DCMS”), veri ihlali mağduru kuruluşların deneyimlerini detaylandıran nitelikli raporunu yayınladı. DCMS, “Siber Güvenlik İhlallerinin Örgütsel Deneyimlerini Keşfetmek” başlıklı raporun hazırlanması için Ocak ayında görevlendirme yapmıştı. Rapor, bir kuruluşun siber güvenlik ihlali öncesi düzeyine, siber saldırının türüne, kuruluşun kısa, orta ve uzun vadede nasıl tepki verdiğine ve sonrasında hangi siber güvenlik iyileştirmelerinin yapıldığına değindi.

Haberin tamamı için linke tıklayınız.

4. Bulut iletişim şirketinin ihlali sonucu şifreli mesajlaşma hizmeti hacklendi.

Vice’ın haberine göre, bilgisayar korsanları bulut iletişim şirketi Twilio’nun güvenliğinin ihlal edilmesine sebep oldu. Şirket, kullanıcılara otomatik metin mesajları gönderen şirketlere altyapı sağlıyordu, bu nedenle bilgisayar korsanları, Twilio tarafından desteklenen bir hizmette kullanıcıların telefon numaralarına bağlı hesaplarını ele geçirme fırsatı buldu. Bu hizmet ise, şifreli mesajlaşma uygulaması Signal’dı. Signal, yaklaşık 1.900 kullanıcının bilgisayar korsanları tarafından hedef alındığını duyurdu. Bilgisayar korsanları, hedef alınan kullanıcıların çalınan telefon numaralarını cihazlarına kaydetmiş ve Signal’dan gelen SMS doğrulama kodlarını ele geçirmiş olabilir.

Haberin tamamı için linke tıklayınız.

5. İskoçya ilk ceza adaleti biyometrik veri kullanım yasasını geçmeye hazırlanıyor.

Holyrood’un bildirdiğine göre İskoçya, biyometrik bilgilerin kullanımı için dünyanın ilk yasal uygulama kurallarının onayına yaklaştı. İlgili düzenleme, polisi ve ceza adaleti sisteminin “biyometrik verilerin elde edilmesi, saklanması, kullanılması ve imha edilmesi” hususlarına ilişkin düzenlemeler içerecek. İskoçya’nın Ceza Adalet Komitesi, ulusal bakanların 7 Eylül’deki toplantılarında hükümlerin hiçbirine itiraz etmedikleri durumda Kasım ortasına kadar sonuçlandırılabilecek ilgili düzenlemeyi imzaladı.

Haberin tamamı için linke tıklayınız.

6. Illinois Yüksek Mahkemesi’nde görülen davalar, Biyometrik Bilgi Gizlilik Yasası ihlallerine ilişkin sigortacıların müşterilere karşı sorumluluğunu belirleyebilir.

Insurance Newsnet’in haberine göre, Illinois Yüksek Mahkemesi’nde görülen iki dava, sigorta şirketi müşterilerinin Biyometrik Bilgi Gizliliği Yasası’nı (BIPA) ihlal ettiğinde rizikolarını belirlemek için emsal teşkil edebileceği belirtildi. Cothron v. White Castle System, Inc.’in taraf olduğu ilk dava, kişinin biyometrik taramaya her başvurduğunda BIPA ihlallerinin “tarama başına” esasına göre gerçekleşip gerçekleşmediğini; The Tims v. Black Horse Carriers, Inc.’in taraf olduğu diğer dava ise, BIPA ihlallerinin Illinois hukuk davaları kapsamında bir yıllık veya beş yıllık zamanaşımı süresi kapsamına girip girmediğini belirleyebilir.

Haberin tamamı için linke tıklayınız.

7. Letonya Veri Koruma Otoritesi, veri koruma görevlisinin rolünü açıklayan bir blog yazısı yayınladı.

Letonya Veri Koruma Otoritesi (DSI), veri koruma görevlisinin rollerini açıklayan bir blog yazısı yayınladı. Kurumun nasıl çalıştığını ve kurumların veri koruma uygulamalarını nasıl düzenlediğine ilişkin yayınlanan kılavuz DSİ’nin vatandaşları bilgilendirme çabasının bir parçası olarak nitelendiriliyor. Otoritenin, veri koruma uzmanlarının rollerini ve organizasyon içinde yer aldığı konumlarını açıklayan takip eden makale serileri yayınlayacağı bildirildi.

Haberin tamamı için linke tıklayınız.

8. Rus Veri Koruma Yasası güncellemeleri 1 Eylül’de yürürlüğe giriyor.

Rusya’nın Federal İletişim, Bilgi Teknolojisi ve Kitle İletişim Denetleme Servisi Roskomnadzor, 1 Eylül’de yürürlüğe girecek Federal Kişisel Veriler Yasası için kabul edilen son değişiklikleri özetledi. Güncellemeler, gereken veri ihlali bildirimini ve ilgili kişi haklarını kısıtlama koşullarını içeren sözleşmeye dayalı veri işleme dilini yasaklamayı içeriyor. Roskomnadzor ayrıca, veri ihlalleri konusunda daha katı bir ceza ve sorumluluk planı oluşturmak için gelecek dönemdeki değişiklikleri önerdi.

Haberin tamamı için linke tıklayınız.

9. Kongre üyeleri, federal kolluk kuvvetleri tarafından kişisel veri satın alımları hakkında bilgi talep ediyor.

Gizmodo’nun haberine göre, ABD Temsilcileri Jerrold Nadler (New York) ve Bennie Thompson (Mississippi), yedi federal kolluk kuvvetine Amerikalı vatandaşların verilerinin satın alındığı iddiasıyla ilgili sorular içeren bir mektup yayınladı. Kongre üyeleri mektupta, İç Güvenlik Departmanı ve Federal Soruşturma Bürosu da dahil olmak üzere kuruluşların, vatandaşların verilerini veri komisyoncularından ve konum toplayıcılardan “arama emri gerekliliklerinden kaçınmak için” satın aldıklarını iddia etti. Kongre üyeleri, “Kolluk uygulama soruşturmaları bazı aramaları gerektirse de, bu verilerin hükümet tarafından uygunsuz şekilde edinilmesi Amerika vatandaşlarının yasal süreç haklarını korumak için tasarlanmış yasal ve anayasal korumaları engelleyebilir” diye belirtti.

Haberin tamamı için linke tıklayınız.

10. Yeni Zelanda Veri Koruma Otoritesi (OPC), biyometrik kullanımlar hakkında kamu istişaresi başlattı.

OPC, Yeni Zelanda’da biyometrik teknoloji kullanımına ilişkin kamuoyu görüş alımı yayınladı. OPC, yapacağı çalışma ile kuruluşların biyometrik bilgileri kullanarak yeniliğe izin veren ve insanların mahremiyetini koruyan uygun rehberlik ve düzenlemelere sahip olmasını sağlamaya çalışmaktadır. Kamuoyunun görüş vereceği dönem, “Yeni Zelanda Aotearoa’da Biyometrinin Gizliliği Yönetmeliği” başlıklı bir danışma belgesini takip edecek ve 30 Eylül’e kadar geri bildirimler kamuoyundan istenecek. Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

17/08/2022

1. CIBC ve Fintech sağlayıcısı MX açık bankacılık anlaşması imzaladı.

The Fintech Times’ın haberine göre, Canadian Imperial Bank of Commerce (CIBC) ve finansal teknoloji sağlayıcısı MX, müşterilerin üçüncü taraf finansal uygulama kullanımını kolaylaştırmak amacıyla açık bankacılık anlaşması üzerinde ortaklık kurdu. CIBC’nin 11 milyon müşterisi, önceden gerekli bir kullanıcı adı veya parolası olmadan artık banka bilgilerini MX ortaklı finansal uygulamalarla paylaşabilir ve bu uygulamalardan gelen hizmetlere erişebilir. MX Hukuk Başmüşaviri Jane Barratt, bu anlaşmanın müşterilere “verilerini kiminle ve hangi amaçlarla paylaşacaklarına karar vermek için finansal verileri üzerinde daha büyük bir kontrol” sağladığını ifade etti.

Haberin tamamı için linke tıklayınız.

2. Hindistan’ın telekomünikasyon düzenleyicisi, yapay zeka ve büyük verinin gelecekteki kullanımlarını detaylandıran bir danışma belgesi yayınladı.

Hindistan Telekom Düzenleme Kurumu, “Telekomünikasyon Sektöründe Yapay Zeka ve Büyük Verilerden Yararlanma” başlıklı bir danışma belgesi yayınladı. Belge; hizmet kalitesi, spektrum yönetimi ve ağ güvenliği gibi alanlar için yapay zeka ve büyük verilerin gelecekteki potansiyel kullanımlarını sunarken, yapay zeka ve büyük veri teknolojilerini halihazırda kullanan telekomünikasyon operatörlerinin örneklerini vurguluyor. Makale ayrıca, etik olmayan kullanımlar, veri ve algoritmalardaki önyargılar ve gizlilik endişeleri dahil olmak üzere yapay zeka ve büyük verilerin benimsenmesiyle ilişkili riskleri de detaylı olarak inceliyor.

Haberin tamamı için linke tıklayınız.

3. İrlanda Veri Koruma Otoritesi’nin İnstagram hakkındaki kararı haftalar içinde bekleniyor.

TechCrunch’ın haberine göre İrlanda Veri Koruma Otoritesi’nin Instagram’ın AB’deki çocuklara ait verileri kullanmasına yönelik şikayetine ilişkin nihai kararı Ağustos ayının sonunda gelebilir. Kararın, Instagram’ın AB’deki ana şirketi Meta’nın baş denetçisi niteliğinde olan Otorite tarafından Eylül ayının ilk haftasına kadar karar verilmesi için zor bir tarih olduğu ifade edildi. Otoritenin Başkan Yardımcısı Graham Doyle, kararın Avrupa Birliği Genel Veri Koruma Tüzüğü’nün düzenleyici anlaşmazlık çözüm sürecinin 65. maddesinde yer alan prosedürel adımla onaylandığını doğruladı.

Haberin tamamı için linke tıklayınız.

4. Rusya bankalarda toplanan biyometrik verilere ilişkin olarak verdiği talimatını açıkladı.

Rusya Dijital Kalkınma, Telekomünikasyon ve Kitle İletişim Bakanlığı, biyometrik verilerin vatandaşların rızası olmadan toplanmayacağına dair bir kılavuz yayınladı. Açıklama, bankalarda depolanan biyometrik verileri düzenlemek ve devlet birleşik biyometrik sistemine aktarmak için çalışma grupları arasında dolaşan bir taslak talimatını doğruladı. Vatandaşlar kendi isteğiyle, banka veya Eylül ayında çıkacak mobil uygulama aracılığıyla biyometrik verilerini paylaşabilirler. Bakanlığa göre, güvenlik kameralarından veya bireyin rızasını gerektirmeyen diğer sistemlerden biyometrik veriler toplanmayacak.

Haberin tamamı için linke tıklayınız.

5. EDPS, daha fazla AB-Japonya sınır ötesi veri akışı müzakereleri için açıklama istiyor.

Avrupa Veri Koruma Denetçisi, Avrupa Birliği Konseyi’ne Japonya ile bir sınır ötesi veri akışı anlaşması yapması için daha fazla müzakere başlatmasına dair bir tavsiye yayınladı. Japonya’nın 2019’da AB’den bir yeterli korumanın sağlandığı kararı almasına rağmen, EDPS, müzakere edilen kuralların “veri sorumlusu veya veri işleyenlerin kişisel verileri AB’de (veya Avrupa Ekonomik Alanı’nda) depolamasını gerektirecek önlemleri” nasıl engellememesi gerektiğine ilişkin açıklama bekliyor.

Haberin tamamı için linke tıklayınız.

6. Meta’nın Avrupa-Amerika arası veri aktarımına ilişkin nihai karar gecikti.

Politico’nun haberine göre, İrlanda Veri Koruma Komisyonu’nun Meta’nın Avrupa ile Amerika arasındaki veri aktarımına dair anlaşmasını durdurma emrine ilişkin itirazlarının, nihai kararı geciktireceği belirtildi. Bir DPC sözcüsü, diğer veri koruma yetkililerinin AB Genel Veri Koruma Tüzüğü’nün 60. maddesi uyarınca dört haftalık zorunlu müzakereler sırasında endişelerini dile getirdiklerini ve tutarsızlıkları çözüme ulaştırmanın aylar alabileceğini ifade etti. Sorunların çözüme ulaştırılmaması durumunda, uyuşmazlık çözüm mekanizmasına ilişkin 65. maddenin devreye gireceği belirtildi.

Haberin tamamı için linke tıklayınız.

7. Snap, ebeveynlerin çocuklarının etkileşimlerini takip etmeleri için ‘Aile Merkezi’ oluşturuyor.

Reuters’in haberine göre Snapchat’in ana şirketi Snap tarafından, ebeveynlerin çocuklarının kimlerle etkileşime girdiğini görmelerini sağlayan araçlar tanıtıldı. Ancak, ‘’Aile Merkezi’’ adı verilen yeni özellik dahilinde, ebeveynlerin mesajın içeriğini görüntüleyebilmeleri mümkün değil. Ebeveynler, çocuklarını Aile Merkezi’nin bir parçası olmaya davet edebilir ve kabul ettiklerinde, ebeveynler çocuklarının arkadaş listelerini ve önceki yedi gün içinde kimlerle etkileşim kurduklarını görebilir.

Haberin tamamı için linke tıklayınız.

8. Twitter’ın kısa süreli arızası, anonim hesapların tanımlanmasına izin verdi.

MediaPost’un haberine göre Twitter; kullanıcılarının takma adlar altında tweet atan diğer kullanıcıları tanımlama imkanı veren bir güvenlik açığının oluştuğunu duyurdu. Şirket yetkilileri, güvenlik açığının Ocak ayında tespit edildiğini, ancak önceki yedi aydır mevcut olduğunu söyledi. Kısa süreli arıza, kullanıcının Twitter’ın sistemine bir e-posta adresi veya telefon numarası girmesine izin vererek başka bir kullanıcının bu giriş kimlik bilgileriyle ilişkili hesabı bulmasına imkan sağladı. Şirket, bir bireyin, bu yolla elde ettiği hesap bilgilerini satmaya çalıştığında kısa süreli arızadan haberdar oldu.

Haberin tamamı için linke tıklayınız.

9. Ürdün, yapay zeka için ulusal etik tüzüğü oluşturuyor.

Ürdün Dijital Ekonomi ve Girişimcilik Bakanlığı’nın kabinesi, “Yapay Zeka için Ulusal Etik Sözleşmesi”ni onayladı. Tüzük, Ürdün’ü yapay zeka teknolojisinin kullanılması için ulusal bir stratejik ve düzenleyici rejimin geliştirilmesini amaçlıyor. Yapay zekanın kullanılması, “insani ve dini değerler ile toplumun gelenek ve göreneklerine” dayalı “ortak bir etik temel bularak” yapılacağı belirtiliyor. Tüzük; hesap verebilirlik, şeffaflık ve bireysel gizliliğe saygı dahil olmak üzere yapay zeka için çeşitli etik ilkeleri içermekte.

Haberin tamamı için linke tıklayınız.

10. Google, hakimden veri işleme davasında toplu dava niteliğini reddetmesini istedi.

MediaPost’un haberine göre Google, federal yargıçtan, tarayıcıyı “gizli” modda kullanan Chrome kullanıcılarından veri topladığı için şirkete karşı açılan bir davada, toplu dava niteliğini reddetmesini istedi. Davacılar, Google’ın ABD ve Kaliforniya eyaleti gizlilik yasalarını ihlal ederek, verilerinin gizli modda nasıl toplandığı konusunda kullanıcıları gerektiği gibi bilgilendirmediğini iddia etti. Mahkeme dosyalarına göre, Google, bazı kullanıcıların gizli modda verilerinin nasıl topladığı konusunda “kafasının karışabileceğini”, ancak “önemli sayıda” kullanıcının bu özelliğin nasıl veri topladığını bildiğini savundu.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

09/08/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Fransız Veri Koruma Otoritesi, spor takımlarının kendi kendilerine uyum değerlendirmesi yapabilmesi adına bir araç oluşturdu.

Fransa Veri Koruma Otoritesi; profesyonel spor takımlarının, veri koruma mevzuatına uyum sağlamalarına olacak araçlar oluşturdu. “Kendi kendini denetleme kılavuzu”, çalışanlara ve gönüllülere ait verilerin mevzuata uygun işlenmesine ilişkin kuralları öğrenmeleri adına spor takımlarına yardımcı olacak. İlgili kılavuz; kişisel veriler, veri işleme ve spor alanına özgü bakış açıları ve amaçlar da dahil olmak üzere temel hususlar hakkında bilgi vermektedir.

Haberin tamamı için linke tıklayınız.

2. Batı Avustralya Üniversitesi’nin öğrenci kayıt sisteminde ihlal meydana geldi.

IT News’in haberine göre; Batı Avustralya Üniversitesi’ndeki yetkililer, mevcut ve eski öğrencilerin kişisel verilerini tehlikeye düşürme riski olan bir veri ihlali yaşandığını keşfetti. Bildirilene göre ihlal üniversitenin Callista öğrenci veritabanını etkiledi. Üniversitenin Rektör Yardımcısı Amit Chakma tarafından, ihlalin Callista’ya yetkisiz bir kullanıcı girişi yapılması akabinde keşfedildiğini ifade edildi. Sistemdeki veriler; öğrenci adlarını, adreslerini, telefon numaralarını, e-postalarını ve fotoğraflarını içeriyordu.

Haberin tamamı için linke tıklayınız.

3. Avustralya, sosyal medyada veri güvenliğinin korunması hakkındaki endişelerini gidermek amacıyla ‘tüm seçenekleri’ değerlendirecek.

The Sydney Morning Herald’in haberine göre; Avustralya İçişleri Bakanlığı, TikTok ve diğer sosyal medya platformları tarafından veri kullanılması hakkındaki endişelerini gidermek için “tüm seçenekleri değerlendiriyor”. Konu hakkındaki açıklama; Çin hükümeti tarafından İngiliz milletvekillerine uygulanan yaptırımlar sebebiyle İngiliz Parlamentosu’nun TikTok hesabını devre dışı bırakması sonrasında yapıldı. İletişim Müdürlüğü tarafından Avustralya milletvekilleri (TikTok’un ismi verilmeksizin), yalnızca sosyal medya kullanımı için ikinci bir telefon bulundurmaları konusunda uyarıldı.

Haberin tamamı için linke tıklayınız.

4. Moldova ve Polonya Veri Koruma Otoriteleri aralarında veri koruma anlaşması imzaladı.

Moldova Ulusal Kişisel Verileri Koruma Merkezi’nin bildirdiğine göre, Moldova ve Polonya Veri Koruma Otoriteleri iki taraflı düzenlenmiş olan Kişisel Verileri Koruma İşbirliği Anlaşması’nı imzaladılar. Anlaşma kapsamında, vatandaşların verilerinin korunması adına iyi uygulama örneklerini teşvik edecek şekilde Moldove Veri Koruma Otoritesi ile Polonya Cumhuriyeti Veri Koruma Ofisi arasında ilişkilerin geliştirilmesi öngörülüyor.

Haberin tamamı için linke tıklayınız.

5. Kenya Veri Koruma Otoritesi, mevzuat gereği zorunlu olarak yapılması gereken kaydı yapmaları için iş sektörlerini uyardı.

Business Daily Africa’nın haberine göre; Kenya Veri Koruma Otoritesi (“ODPC”) tarafından, geçmiş dönemde muaf tutulmuş olan 13 sektör içerisinde yer alan işletmelere 2021 Veri Koruma Mevzuatı çerçevesinde kayıt yükümlülüğünün yerine getirilmesi hakkında uyarı yapıldı. Mevzuat uyarınca, belirlenmiş olan kriterler içerisinde kalan veri sorumluları ve veri işleyenlerin ODPC’ye kayıt olmaları zorunludur. ODPC tarafından yapılan son uyarıda barlar, restoranlar, dispanserler ve okullar gibi kuruluşların, yıllık ciro veya çalışan sayısından bağımsız olarak kayıt yaptırması gerektiği belirtildi.

Haberin tamamı için linke tıklayınız.

6. Tim Hortons, konum verilerinin işlenmesi karşılığında müşterilere ücretsiz olarak kahve ve unlu mamül teklif etti.

The Wall Street Journal’ın haberine göre; Tim Hortons’un ana şirketi olan Restaurant Brands International, Kanada’nın üç eyaletinde kendisine karşı açılan toplu davalarda bir uzlaşma teklifinde bulundu. Şirket, ihlalden etkilenen müşterilerine ücretsiz kahve ve unlu mamül teklifinde bulundu. Federal yetkililer ve eyalet yetkilileri tarafından sürdürülen soruşturma kapsamında; Tim Hortons’ın mobil uygulamasını indiren kişilerin, uygulamayı o an kullanıp kullanmadığına bakılmaksızın Nisan 2019 ile Eylül 2020 tarihleri arasında devamlı olarak konum hareketlerinin takip edildiğini tespit edildi.

Haberin tamamı için linke tıklayınız.

7. Lower Saxony Veri Koruma Komiserliği bir bankaya 900 bin euro para cezası verdi.

Almanya Veri Koruma Otoritesi Lower Saxony Komiserliği tarafından; adı açıklanmayan bir bankaya, AB Genel Veri Koruma Tüzüğü’nü ihlal ettiği iddiasıyla 900.000 euro para cezası verildi. İddiaya göre ilgili banka tarafından, mevcut ve eski müşterilere ait veriler rıza alınmaksızın analiz ediliyordu. Ayrıca banka tarafından; dijital kullanım davranışına, satın alınan mobil uygulama sayısına ve toplam çevrimiçi banka havalesi sayısına da bakılıyordu. İlgili bankaya verilen ceza ise nihai değil.

Haberin tamamı için linke tıklayınız.

8. Hindistan Parlamentosu Veri Koruma Yasa Taslağı’nı geri çekti.

TechCrunch, Hindistan Parlamentosu’nun Veri Koruma Yasası Taslağı’nı değerlendirmeden çektiğini bildirdi. Demiryolları, Haberleşme, Elektronik ve Bilgi Teknolojisi Bakanı Ashwini Vaishnaw, Ortak Parlamento Komitesi’nin yasa tasarısı üzerindeki çalışmasının kapsamlı bir yasal çerçeve üzerinde çalışıldığını gösterdiğini, Parlamento’nun yasal çerçeveye uygun ve daha kapsamlı olacak şekilde yeni bir yasa tasarısı hazırlamayı planladığını belirtti. Elektronik ve Bilgi Teknolojisi Bakanı Rajeev Chandrasekhar JPC’nin son yıllarda yaptığı çalışmaların, tespit edilen birçok sorunu karşıladığını ancak bunun modern bir dijital veri koruma yasası kapsamı ötesinde olduğunu söyledi.

Haberin tamamı için linke tıklayınız.

9. Danimarka Veri Koruma Otoritesi, veri denetleyicileri için bulut hizmetleri anketi yayınladı.

Danimarka Veri Koruma Otoritesi (“Datatilsynet”), bulut kullanan veri sorumluları için bir anket yayınladı. Anketin, bulutun kamu ve özel kuruluşlar tarafından kullanımına ilişkin Datatilsynet tarafından yürütülen denetimler sırasında kullanıma alındığı belirtildi. Denetimler, bulut hizmetlerini kullanmak için Norveç Veri Koruma Otoritesi tarafından yayınlanan son rehberin ardından başladı. Datatilsynet anketinde veri sorumlularının dört alanda incelendiği, bu alanların; hizmetleri bilme, bulut hizmetleri tedarikçilerini bilme, tedarikçilerin denetimini anlama ve verileri üçüncü ülkelere aktarma olduğu belirtildi.

Haberin tamamı için linke tıklayınız.

10. Ortak sponsorlar, teklif aşamasında olan Amerikan Veri Gizliliği ve Koruma Yasa Tasarısı ile umutlu kalmaya devam ediyor.

Axios’un haberine göre, ABD Temsilciler Meclisi Enerji ve Ticaret Komitesi Başkanı, New Jersey eyaletinden, Frank Pallone ve Ticaret, Bilim ve Taşımacılık Senato Komitesi Kıdemli Kongre Üyesi, Mississippi eyaletinden, Roger Wicker önerilen Amerikan Veri Gizliliği ve Koruma Yasa Tasarısı’nın değerlendirilmesi ve kanunlaştırılması için baskı yapmaya kararlı olduğu belirtildi. Pallone sözcüsü, tasarı Meclis’te oy beklerken senatörün çift taraflı geniş parti desteği oluşturmaya çalıştığı ve üyelerden gelen geri bildirimleri birleştirmeye devam ettiğini söyledi. Wicker, bu şansın bir daha gelmeyebileceğini belirterek Kongre Demokratları’nın harekete geçmemesi nedeniyle Amerikan halkını hayal kırıklığına uğratmamasını umduğunu ifade etti.

Haberin tamamı için linke tıklayınız.

Veri Kazıma (Data Scraping) Faaliyeti Sırasında KVKK Kapsamında Nelere Dikkat Edilmelidir?

03/08/2022

Veri kazıma(data scraping) ilgili kişinin izni olmadan bot adı verilen otomatik yazılım programlarını kullanarak bir internet sitesinden büyük miktarda bilgi çıkarmak anlamına gelmektedir. Veri kazıma manuel veya otomatik gerçekleştirilebilir. Veri kazıma birçok şekilde karşımıza çıkmakta olup ekran kazıma(screen scraping), internet kazıma(web scraping) ve örümcek(crawling) bunlardan birkaçıdır.

Bu blog yazısı içerisinde Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Avrupa Genel Veri Koruma Tüzüğü’nden (“GDPR”) doğan yükümlülükler, Fransız Veri Koruma Otoritesi (“CNIL”) tarafından yayınlanan “Kamuya açık çevrimiçi verilerin ticari amaçlarla yeniden kullanılması” hakkında rehber ve Kişisel Verileri Koruma Kurulu (“Kurul”) dahil olmak üzere dünyadaki veri koruma otoriteleri tarafından verilen kararlar ışığında veri kazıma hakkında dikkat edilmesi gereken hususlar sizler için derlenmiştir.

Veri Kazıma Faaliyetinin Yürütülmesi Sırasında Dikkat Edilmesi Gereken Hususlar

CNIL tarafından 30 Nisan 2020 tarihinde yayınlanan “Kamuya açık çevrimiçi verilerin ticari amaçlarla yeniden kullanılması” hakkında rehber (“Rehber”)’de, veri kazıma faaliyetinin yürütülmesi sırasında aşağıda başlıklar halinde yer alan noktalara değinilmiştir. Söz konusu başlıklar ile birlikte GDPR ve KVKK kapsamındaki açıklamalarımız ve değerlendirmelerimizi bilgilerinize sunarız.

1. Hukuki Sebep Tayini

GDPR ve KVKK uyarınca kişisel veri işleme faaliyetinin hukuka uygun olarak yürütülebilmesi için belirli bir hukuki sebebe dayanması gerekmektedir. Veri kazıma aracılığıyla yürütülecek kişisel veri işleme faaliyetinin niteliği gereğince GDPR ve KVKK’da yer alan iki farklı hukuki sebebe dayandırılması mümkündür. Bunlar;

• GDPR m.6/1(a) ve KVKK m.5/1’de yer alan ilgili kişinin açık rızası ve,

• GDPR m.6/1(f) ve KVKK m.5/2(f)’de yer alan ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olmasıdır.

Yürütülen faaliyetin niteliği gereğince ilgili kişilerden açık rıza almanın ve geri alma beyanının veri sorumlusuna ulaştığı andan itibaren açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin veri sorumlusu tarafından durdurulması neredeyse imkansız olmaktadır.

Yukarıda sayılan sebepler doğrultusunda kişisel veri işleme faaliyetinin GDPR m.6/1(f) ve KVKK m.5/2(f)’da yer alan ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hukuki sebebine dayandırılması uygun olacaktır.

2. Veri Kaynağının Belirlenmesi

CNIL tarafından, veri işleme faaliyetinin hukuka ve dürüstlük kurallarına uygun olması amacıyla, veri kazıma yazılımları kullanan şirketlerin toplanan verilerin niteliğini ve kaynağının belirlemesi gerektiği belirtilmiştir. Bunun sebebi, bazı sitelerin veri kazıma faaliyetinin yürütülmesine veya verilerin çekilerek pazarlama amacı için tekrar kullanımına izin vermemesidir.

Bu noktada internet sitesinin URL’sinin sonuna eklenecek “/robot.txt” metni aracılığıyla bir internet sitesinin söz konusu veri işleme faaliyetine izin verip vermediğine kolayca ulaşılabilmektedir. Örneğin bir elektronik ticaret adresine söz konusu eklemeyi yaparak arama çubuğuna “https://www.internetsitesi.com/robots.txt” olarak girdiğimizde aşağıdaki ekran görüntüsünde örnek olarak görebileceğiniz metne ulaşmaktayız.

Ekran görüntüsünde görülebileceği şekilde “Disallow: /brand/” veya “Disallow: /product/” olarak belirtilen her satır veri kazıma faaliyetinin yürütülmesinin engellendiği bir internet sitesi dosyası veya kısmını temsil etmektedir. Bu doğrultuda izin verilmeyen her dosya için yürütülen veri kazıma faaliyeti hukuka aykırılık teşkil edecektir.

3. Veri Minimizasyonu İlkesi

CNIL tarafından, veri kazıma yazılımlarını kullanan veri sorumlularının ilgisiz veya aşırı bilgilerin toplanmasından kaçınmak için özellikle dikkatli olması gerektiği belirtilmektedir. Ölçülü veri işleme faaliyetlerine ilişkin Kişisel Verileri Koruma Kurulu tarafından yayınlanan “Veri Minimizasyonu İlkesine Aykırılık” başlıklı kararda veri sorumlusu tarafından işleme amacının gerektirdiğinden fazla kişisel veri işlenmesi ve aktarılmasının veri minimizasyonu ilkesine aykırılık oluşturacağı ve KVKK’nın 4. maddesinin 1. fıkrasının (ç) bendinde yer alan işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil edeceği belirtilmiştir. Bu doğrultuda veri sorumlusu tarafından veri kazıma aracılığıyla gerçekleştirilen veri işleme faaliyetinin amaçları analiz edilerek yalnızca söz konusu amacın gerçekleştirilmesi amacıyla gereken verilerin işlenmesi önerilmektedir.

Bununla beraber söz konusu ilkeye uygun hareket edilmesi, veri işleme faaliyetinin hukuki sebebi olarak meşru menfaate dayanılmasında büyük rol oynayacaktır. Nitekim Kurul tarafından meşru menfaat değerlendirmesi yapılırken, kişisel verilerin işlenmesinde genel ilkelere uygunluğun sağlanması gerektiği belirtilmiştir. Gereğinden fazla verinin işlenmesi halinde amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine aykırılık teşkil edilecek olması sebebiyle ilgili kişinin temel hak ve hürriyetlerinin zarar görmesi riski ortaya çıkabilecektir. Bu doğrultuda meşru menfaat ilkesine dayanılamayacak, söz konusu veri işleme faaliyetinin yürütülmesi hukuka uygun olmayacaktır.

4. İlgili Kişilerin Bilgilendirilmesi

GDPR’ın 14. maddesi ve KVKK’nın 10. maddesi uyarınca bilgilendirme yükümlülüğü bulunan veri sorumlusunun kişisel verilerin ilgili kişiden elde edilmemesi halinde kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde ya da kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında kişiyi aydınlatma yükümlülüğünü yerine getirmesi gerekir.

Sürecin niteliği gereğince, kişiyle iletişime geçilmeyeceği ve işlenilen verilerle iş birimlerine kaynak oluşturulacağı hallerde bilgilendirme faaliyetinin yerine getirilmesi için iki adet seçenek bulunmaktadır. Bunlar; kişiyle iletişime geçerek birebir bilgilendirme yapılması veya açık bir kaynaktan (örn; internet sitesi) bilgilendirmenin kamuya açık bir şekilde paylaşılmasıdır.

Organizasyonel ve finansal olarak en ideal yöntemin internet sitesinde bulunan aydınlatma metinleri aracılığıyla söz konusu yükümlülüğün yerine getirmek olarak görülebilir. Ancak bu konuda GDPR’a tabi olan Polonya Veri Koruma Otoritesi tarafından verilen kararda, tacir ve esnafların kamuoyuna açık verilerini işleyen veri sorumlusunun internet sitesinde yayınlamış olduğu bilgilendirme metni, bilgilendirme yükümlülüğünün yerine getirilmesinde yeterli görülmemiş ve veri sorumlusuna para cezası verilmiştir.

Burada bilgilendirme yükümlülüğünün bir istisnası olarak GDPR’ın 14. maddesinde düzenlenen “orantısız efor” değinmek gerekecektir. Söz konusu hüküm uyarınca ilgili kişinin bilgilendirilmesinin imkansız olduğu veya orantısız efor gerektirdiği hallerde bilgilendirme yükümlülüğünün yerine getirilmesi zorunlu değildir.

Yukarıda bahsi geçen kararda veri sorumlusu, orantısız efor istisnasına dayanmak suretiyle ilgili kişilerin birebir bilgilendirmesinin neredeyse €9M’ya mâl olması sebebiyle büyük oranda finansal zorluğa sebep olacağını belirterek savunmada bulunmuştur. Bu noktada herhangi bir veri koruma otoritesi tarafından ilk defa GDPR’da bulunan “orantısız efor” kavramının açıklaması yapılarak, Polonya Veri Koruma Otoritesi tarafından orantısız efor istisnasının ancak bilgilendirme yükümlülüğünün imkansız veya neredeyse imkansız olduğu hallerde geçerli olacağını, kişisel verilerin ilgili kişiden elde edilmemesi söz konusu olsa da veri sorumlusunun ilgili kişilere ait iletişim bilgilerine sahip olması sebebiyle bu yükümlülüğün yerine getirilmesini mümkün olacağını ve organizasyonel veya finansal zorlukların bu kapsamda değerlendirilemeyeceğini belirtmiştir.

5. Hizmet Sağlayıcı ile İlişkilerin Yönetimi

Veri sorumlusunun, veri işleme faaliyetlerini veri kazıma hizmeti sağlayan hizmet sağlayıcısı aracılığıyla yürüttüğü hallerde öncelikle Şirket ile hizmet sağlayıcısı arasındaki veri sorumlusu ve veri işleyen rollerinin analiz edilmesi gerekmektedir. Söz konusu analizin ardından Şirket ile hizmet sağlayıcısı arasındaki ilişki yönetilebilecektir.

GDPR’ın 28. maddesi uyarınca veri sorumlusu ile veri işleyen arasında veri işleyeni bağlayıcı kılan ve işlemenin konusunu, süresini, niteliğini ve amacını belirleyen yazılı bir sözleşme oluşturulması gerekmektedir. Aynı doğrultuda, Kişisel Verileri Koruma Kurulu tarafından yayınlanan Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) uyarınca veri sorumlusu ile veri işleyen arasında yazılı olarak imzalanan sözleşmenin, veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile uyumlu şekilde hareket edeceğine ilişkin hüküm içermesi önerilir.

Bu doğrultuda veri sorumlusunun veri işleyen ile birlikte müştereken sorumlu olması sebebiyle, veri sorumlusunun yukarıda sayılan tüm tedbirlerin veri işleyen tarafından alındığından emin olması gerekmektedir. Söz konusu veri işleme faaliyeti özelinde düzenlenmiş bir protokol aracılığıyla veri işleme faaliyetinin müştereken sorumluluk nezdinde oluşturabileceği risklerden korunulması mümkündür.

6. Veri Mahremiyeti Etki Analizinin Yürütülmesi

GDPR’ın 35. maddesi uyarınca; özellikle yeni teknolojiler kullanıldığında, bir veri işleme faaliyetinin gerçek kişilerin hakları ve özgürlükleri açısından yüksek bir risk teşkil edeceği hallerde veri sorumlusu, öngörülen işleme faaliyetinin kişisel verilerin korunmasına olan etkisine ilişkin bir değerlendirme yapmalıdır.

İngiltere Bilgi Komiserliği Ofisi (“ICO”) tarafından yayınlanan ve mahremiyet etki analizinin ne zaman yapılması gerektiğini inceleyen yazı uyarınca; kişisel verilerin ilgili kişiden elde edilmemesi ve ilgili kişinin veri işleme faaliyetine ilişkin bilgilendirilmemesi “görünmez işleme” faaliyeti olarak nitelendirilmektedir. Yukarıda açıklamış olduğumuz üzere, veri kazıma faaliyetinin niteliği gereği kişisel veriler ilgili kişiden elde edilmemekte; bu doğrultuda veri kazıma aracılığıyla görünmez işleme faaliyeti yürütülmektedir. “Görünmez işleme”, ICO tarafından “yüksek risk taşıyan veri işleme faaliyeti” olarak nitelendirilmektedir. Bu doğrultuda veri kazıma aracılığıyla yürütülecek sürecin başlatılmasından önce mahremiyet etki analizinin gerçekleştirilmesi uygun olacaktır.

Sonuç

İş faaliyetleri gereği veri kazıma faaliyeti kendi eliyle veya bir tedarikçi aracılığıyla yürütülmesine karar verilmesi üzerine, süreci kişisel verilerin korunması bakımından değerlendirmek önem arz etmektedir. Nitekim veri kazıma süreci, yoğun bir kişisel veri işleme faaliyeti niteliği taşımaktadır. Bu noktada özet olarak, aşağıdaki hususlara dikkat edilmesi önerilmektedir.

• Hukuki sebebin tayin edilmesi

• Veri kaynağının hukuka uygun olarak belirlenmesi

• İlgili kişilerin bilgilendirilmesi

• Faaliyetin hizmet sağlayıcı aracılığıyla yürütülmesi halinde hizmet sağlayıcı ile sözleşmesel ilişkinin yönetimi

• Gerekli olması halinde veri mahremiyeti etki analizinin yürütülmesi

Yazar: Bilge Ezgi Peker – LinkedIn

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

02/08/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. CNIL, yaş doğrulamasına ilişkin önerilerini sundu.

Fransa Veri Koruma Otoritesi (“CNIL”), yaş doğrulama sistemlerinin tasarlanmasına yönelik tavsiyeler yayınladı. AB Genel Veri Koruma Tüzüğü’nün ortaya koymuş olduğu veri minimizasyonu ve amaç sınırlaması şartlarına dikkat çeken CNIL, anonimleştirme çalışmalarında “güvenilir bir üçüncü taraf” sistemin kullanılmasıyla “üç yönlü gizlilik koruması” sağlanarak kullanıcıların yaşlarının doğrulanması önerisinde bulundu. CNIL, cihazları “daha verimli, güvenilir ve gizlilik dostu” kılacak gerekli sistemin “ivedi bir şekilde” kurulması gerektiğini düşünüyor.

Haberin tamamı için linke tıklayınız.

2. ICO, bağlayıcı şirket kurallarına ilişkin olarak yayımlanan rehberini güncelledi.

Birleşik Krallık Bilgi Komisyonu Ofisi (“ICO”), bağlayıcı şirket kurallarının (“BCR”) bir veri aktarım mekanizması olarak kullanılmasına ilişkin kılavuzunu güncelleyerek yayınladı. Güncellemeler ile ICO’nun “İngiltere onay sürecinde yalnızca bir kez ek belge ve taahhütlerin talep edileceğinin” belirtilmesi, veri sorumluları ve veri işleyenlere “basitleştirilmiş” bir yaklaşım sergilediğini göstermektedir. Ayrıca ICO; BCR’leri “uygun önlemleri alma konusundaki kararlılığı gösteren” bir “altın standart” transfer mekanizması olarak adlandırdı.

Haberin tamamı için linke tıklayınız.

3. Almanya Veri Koruma Otoritesi, GDPR ihlali gerekçesiyle Volkswagen’e para cezası verdi.

Lower Saxony Eyaleti Veri Koruma Komiseri, AB Genel Veri Koruma Tüzüğü’nün (“GDPR”) ihlal edildiği gerekçesiyle Volkswagen’e 1,1 milyon avro para cezası verdi. 2019 yılında Avusturya polisi, trafik durumunu ve hata analizini kaydetmek amacıyla dışına kameralar takılmış olan bir Volkswagen test aracını durdurdu. Ancak araçta bir kamera aydınlatma görseli veya ilgili kişileri kişisel verilerinin işlendiğine / hangi amaçla işlendiğine dair aydınlatmaya yönelik bir husus bulunmaması sebebiyle GDPR’ın ihlal edildiği tespit edildi.

Haberin tamamı için linke tıklayınız.

4. NIST, sağlık verilerinin güvenliğine ilişkin kılavuzu güncelledi.

ABD Ulusal Standartlar ve Teknoloji Enstitüsü (“NIST”), Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası Güvenlik Kuralı ile ilgili güncellenmiş siber güvenlik kılavuzunun taslağını yayınladı. Kılavuzun, HIPAA standartlarına uygun olacak şekilde hasta verilerinin “gizliliğini, bütünlüğünü ve kullanılabilirliğini korumaya” yardımcı olacağı belirtildi. NIST Siber Güvenlik Uzmanı Jeff Marron, revize edilmiş hususların önceki hallerine göre “daha uygulanabilir” olduğunu ve NIST’in ilgili revizeler ile sağlık kurumları için kaynak niteliğinde bir kılavuz oluşturmayı amaçladığını söyledi. 21 Eylül’e kadar taslağa ilişkin kamuoyu görüşleri sunulabilecek.

Haberin tamamı için linke tıklayınız.

5. Avrupa Birliği personelinin akıllı telefonları tehlikeye girmiş olabilir.

Reuters’ın haberine göre, Avrupa Birliği (“AB”) tarafından çalışanlarının akıllı telefonlarının güvenliğinin bir casus yazılım sebebiyle tehlikeye düştüğünü gösteren deliller ele geçirildi. İlgili delil; Apple’ın, AB Adalet Komiseri Didier Reynders’ın telefonunun NSO Group’un Pegasus casus yazılımı tarafından saldırıya uğramış olabileceğini bildirmesinin ardından Avrupa Komisyonu personelinin akıllı telefonlarını konu edinen bir soruşturma yapılması sonucunda ortaya çıktı. Soruşturma kapsamında, telefonların saldırıya uğradığına dair “kesin bir kanıt bulunamamış” olsa da; şu ana kadar, siber güvenliğin tehlikeye düştüğünü gösterecek kadar somut delil elde edildi. NSO, ilgili soruşturma kapsamında işbirliği sağlayacağını belirtti.

Haberin tamamı için linke tıklayınız.

6. CNIL, Facebook çerez dosyasını kapattı.

Fransa Veri Koruma Otoritesi (“CNIL”), eGizlilik Direktifi’ne aykırı olduğu iddiasıyla Facebook aleyhine açılan çerez ihlallerine ilişkin dosyayı kapattı. CNIL; Ocak ayında 60 milyon euro para cezasına çarptırılan Facebook’a, kullanıcılarını hedef alan üçüncü taraf çerezlerin kullanımına ilişkin açık rıza alınması sürecindeki sorunların çözülmesi için üç ay süre verdi. CNIL, hFacebook’un yeni uygulamayı sürdürdüğününe dair kontrol hakkını saklı tuttu.

Haberin tamamı için linke tıklayınız.

7. Ontario’da çalışan öğretmenler mahremiyet haklarının ihlal edilmesi sonrasında disiplin cezalarına ilişkin açılan temyiz davasını kazandı.

Law Times News’in haberine göre; Ontario’da çalışan iki öğretmen, iş bilgisayarları üzerinden gerçekleştirmiş oldukları konuşma sebebiyle disiplin cezası almaları akabinde okullarına karşı açmış oldukları davayı üst mahkemede kazandı. Ontario Temyiz Mahkemesi, iki ilkokul öğretmeninin mahremiyet haklarının ihlal edildiğine hükmetti. Bir öğretmen tarafından, bir başka öğretmenin müdürün “ayrımcı muamele”sine maruz kaldığı iddiası gerekçe gösterilerek Öğretmenler Birliği’ne şikayette bulunulmuştu. Şikayette bulunan öğretmen ve bir iş arkadaşı tarafından, kişisel Google Cloud hesabı içerisinde hareket loglarını tutuluyordu. Müdür tarafından, ifade edilen logların bulunması sonrasında ekran görüntüleri alındı ve olaya konu iki öğretmene disiplin cezası verildi.

Haberin tamamı için linke tıklayınız.

8. Google üçüncü taraf çerezlerin kaldırılmasına yönelik planını 2024 yılına erteledi.

Google’ın blog sayfasında ele alınan yazıya göre, Google Privacy Sandbox başkan yardımcısı Anthony Chavez tarafından mevcut programlama arayüzleri hakkında alınan geri bildirimler sonucunda değerlendirmelerin ve testlerin yapılması amacıyla daha fazla zamana ihtiyaç duyulacağı belirtildi ve testlerin genişletileceği haberi ile birlikte üçüncü taraf çerezlerin tamamen kullanımdan kaldırılmasının 2024 yılının ikinci yarısına ertelendiği duyuruldu. Mevcut API denemelerinin Ağustos ayında dünya çapında milyonlara ulaşacağı belirtildi. Bu esnada Birleşik Krallık Rekabet ve Piyasalar Kurumu tarafından Google’ın Sandbox taahhütlerine ilişkin bir ilerleme raporu yayımlandı.

Haberin tamamı için linke tıklayınız.

9. Bankalar mali suçları tespit etmek için bilgi paylaşım araçlarını kullanmaya başladı.

The Wall Street Journal’ın haberine göre, Birleşik Krallık düşünce kuruluşu olan Royal United Services Institute tarafından desteklenen bir araştırma projesi tarafından bankaların yasa dışı işlemleri tespit etmesine yardımcı olacak 15 bilgi paylaşım aracı belirlendi. ABD, İngiltere ve Hollanda gibi banka bilgi paylaşım platformlarına sahip olan ülkeler tarafından, platformda para kuryelerinin tanımlanması veya bankalar için güvenli mesajlaşma sisteminin sağlanması gibi hususlara yardımcı olacak çeşitli araçlar kullanıldığı açıklandı. Bu araçlardan biri olan “cutting edge” aracının Hollanda’nın en büyük 5 bankasından biri olan Transactie Monitoring Nederland tarafından kullanıldığı ifade edilerek söz konusu platformun, banka müşterilerinin şifrelenmiş işlem verilerinin bir araya getirilmesi ve “olağandışı işlem kalıpları” aramalarının yapılması imkanı sunduğu belirtildi.

Haberin tamamı için linke tıklayınız.

10. T-Mobile veri ihlaline ilişkin olarak sunulan 500 milyon dolarlık uzlaşma önerisini kabul etti.

New York Times’ın haberine göre; T-Mobile tarafından, Ağustos 2021’de gerçekleşen ve 76,6 milyon kişiyi etkileyen veri ihlaliyle ilgili iddialar hakkında 500 milyon dolarlık ceza içeren uzlaşma önerisini kabul ederek bir anlaşmaya varıldı. ABD Missouri Batı Bölgesi Bölge Mahkemesine sunulan ön anlaşma kapsamında T-Mobile tarafından, tüketici zararlarının karşılanması amacıyla 350 milyon dolar ve gelişen siber güvenlik önlemleri ile teknolojilerinin ilerleyen yıllarda uygulamaya alınması amacıyla 150 milyon dolar kullanılacağı taahhüt edildi. T-Mobile avukatları tarafından; ilgili anlaşmanın mevzuatlara aykırı davranışın bi kabulü olmadığı belirtilirken, şirket tarafından toplu davanın sonuçlanmış olmasından memnuniyet duyulduğu açıklaması yapıldı.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

26/07/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Güney Kore Mahkemesi tarafından, polisin kullanıcılara bilgi vermeksizin kişisel verilerine erişmesine yetki sağlayan yasayı iptal etti.

Anadolu Ajansı’nın haberine göre; Güney Kore Anayasa Mahkemesi, mobil operatörler tarafından kullanıcıların kişisel verilerinin kullanıcılara herhangi bir bilgilendirme yapılmaksızın kolluk kuvvetleri ile paylaşılmasına ilişkin yasayı iptal etti. Telekomünikasyon Ticaret Yasası uyarınca; mobil sağlayıcılar, yürütülen soruşturmalar kapsamında müşterileri hakkında kolluk kuvvetlerinden gelen talepleri karşılayabilir. Ancak, Güney Kore Anayasa Mahkemesi tarafından ilgili yasanın bir kısmı, kişilerin kişisel verilerinin geleceğini tayin etme hakkına aykırılık oluşturduğu gerekçesiyle Anayasa’ya aykırı olduğu kararı verildi.

Haberin tamamı için linke tıklayınız.

2. Danimarka Veri Koruma Otoritesi, hukuk şirketine kişisel verilerin güvenliğinin sağlanmasına yönelik sorunlara ilişkin olarak 500 bin euro para cezası verdi.

Danimarka Veri Koruma Otoritesi (“Datatilsynet”), kişisel verilerin korunmasına ilişkin yeterli güvenlik önlemleri almaması sebebiyle Danimarka’da mukim hukuk şirketi SIRIUS’a 500 bin euro para cezası verdi. Para cezası, 2020 yılının Mart ayında bilgisayar korsanları tarafından hukuk şirketinin sunucularına erişim sağlanması ve sunucuların şifrelemesini geçmesi olayı neticesinde verildi. Soruşturma esnasında; bilgisayar korsanlarının ihlali gerçekleştirdiği sırada hukuk şirketi SIRIUS’un, çok faktörlü kimlik doğrulaması sistemini uygulamaya alma sürecinde olduğu tespit edildi.

Haberin tamamı için linke tıklayınız.

3. Newfoundland ve Labrador’un sağlık sisteminde meydana gelen ihlalden 37.800 kişi etkilendi.

CBC News’in haberine göre, Newfoundland ve Labrador’un en büyük sağlık otoritesi Eastern Health, 2021 yılının Ekim ayında gerçekleşen kişisel veri ihlalinin konusu olduklarına dair 37.800 kişiye bilgilendirme yaptı. İlgili kişisel veri ihlali ile hastaların yanında geçmiş dönemde sağlık sisteminde çalışmış olan ve hala aktif olarak çalışmakta olan kişiler de etkilendi. Eastern Health tarafından yapılan duyuruya göre her 13 Newfoundland ve Labrador vatandaşından biri ihlale konu oldu. Yetkili Kurumun sunucularının kontrolünün ele geçirilmesi yöntemi ile gerçekleşen ihlal sırasında tam olarak saptanamayan kişisel verilere erişim sağlandı ve yetkisiz erişim neticesinde veriler çalındı.

Haberin tamamı için linke tıklayınız.

4. İnternet tarayıcısı tarafından, yeni veri toplama sistemi ile kullanıcıların gizliliğinden ödün verilmediği iddia ediliyor.

TechRadar’ın haberine göre; Brave, kullanıcı gizliliğini ve mahremiyetini “garanti ederek” kullanıcılara ait kişisel verileri toplayan yeni bir sistem oluşturdu. Geliştiriler tarafından; STAR sistemi olarak adlandırılan yeni sistemin, şifreleme tekniklerini kullanarak kullanıcıların gizliliğini sağladığı iddia ediliyor. Yeni sistem, bir toplayıcının isteyeceği tüm veriler “asla belirli bir kişiye özgülenemediği” “k-anonymity” üzerine kuruldu.

Haberin tamamı için linke tıklayınız.

5. Kürtaj karşıtı eyaletlerin savcıların tarafından Google’ın konum verileri kullanılabilir.

Politico’nun haberine göre; kürtajın suç sayıldığı eyaletlerde, Google’ın hücresel konum verilerini toplaması kolluk kuvvetlerine soruşturma materyali sunabilir. Şirket 2018 ve 2020 yılları arasında kürtajı yasaklayan 10 eyaletten 5700’ün üzerinde ‘dijital haritada yer alan lokasyon bilgisi (“geofence”)’ne ilişkin müzekkere aldı. Müzekkereler, ceza soruşturmalarının kapsamına giren belirli telefonların konumlarını gösteren GPS verilerini kullanmak amacıyla gönderildi.

Haberin tamamı için linke tıklayınız.

6. PDPC, blockchain tasarımı ve bulut güvenliği hakkında rehber yayınlıyor.

Singapur Kişisel Verileri Koruma Komisyonu (“PDPC”), yaygınlaşan blockchain uygulamalarında kişisel verilerin korunmasına ilişkin yeni bir rehber yayınladı. Rehber, veri gizliliğini sağlayacak olan teknolojileri erken bir aşamada doğrudan blockchain projelerine dahil edecek olan ilkeleri ve hesap verilebilirliğe ilişkin muhtemel yönetişim önlemlerini kapsamayı hedefleyerek yayınlandı. Ayrıca PDPC, bulut sistemlerinde veri güvenliğini sağlamak için en iyi uygulamaları sunan bulut hizmeti sağlayıcıları hakkında infografik yayınladı.

Haberin tamamı için linke tıklayınız.

7. İtalya Rekabet Kurumu, Google’ın veri taşınabilirliği uygulamalarını araştırıyor.

İtalya Rekabet Kurumu (“Autorità Garante della Concorrenza e del Mercato”), Google’ın veri taşınabilirliği çalışmalarından kaynaklandığı iddia edilen rekabet ihlalleri hakkında soruşturma başlattı. Kurum; Google tarafından bazı üçüncü taraflara kişisel veri paylaşımının sınırlandırıldığı ve bu durumun, kendisine aktarımın yasaklandığı üçüncü taraflar nezdinde “kişisel verilerin kullanımına dair yenilikler geliştirme” imkanlarının azaltıldığı iddialarını araştırıyor. Kurum; Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 20. maddesi kapsamında Google’ın, kısıtlı bir alan içerisinde veri taşınabilirliği hakkını sınırlama imkanı olduğunu belirtti.

Haberin tamamı için linke tıklayınız.

8. CNIL, akıllı kameraların kullanımına ilişkin düzenlemeleri sıkılaştırmaya çalışıyor.

Euractiv’in haberine göre, Fransa Veri Koruma Otoritesi (“CNIL”), akıllı kamera kullanımına ilşkin düzenlemelerin sıkılaştırılmasına yönelik görüş yayınladı. Bir kişiyi tanımlamadan yapay zeka kullanarak görüntüleri işleyebilen akıllı kameralar, Fransa yasalarına göre yasak değil ve bu sebepten dolayı CNIL düzenlemelerde değişiklik yapılması çağrısında bulundu. CNIL, üç ay süren bir kamuoyunda görüş alınması sürecinden geçti. İlgili sürecin sonunda; akıllı kameraları kullanmak isteyen kuruluşların belirli ve kısıtlı kriterleri karşılaması gerektiği, hatta spesifik durumlarda ise yasal bir dayanak aranması gerektiği sonucuna vardı.

Haberin tamamı için linke tıklayınız.

9. Birleşik Devletler milletvekilleri, değiştirilmiş Amerikan Veri Gizliliği ve Koruma Yasası’nı yayınladı.

Meclise sunulmuş olan Amerikan Veri Gizliliği ve Koruma Yasası’nın yazarları, ABD Meclisi Enerji ve Ticaret Komisyonu’nun 20 Temmuz’daki planlanmış oturumu öncesinde tasarının değiştirilmiş bir versiyonunu yayınladı. Dikkate değer güncellemeler arasında; dava açmaya ilişkin özal hakkın zamanaşımının dört yıldan iki yıla çıkarılması, ABD Federal Ticaret Komisyonu ve California Gizlilik Koruma Otoritesi’nin yetkileriyle ilgili değişiklik düzenlemeleri ve “kapsanan kuruluş” ile “hizmet sağlayıcı” tanımlarında yapılan teknik değişiklikler yer alıyor. Komisyon üyeleri ayrıca, planlanmış oturum öncesinde birkaç ek değişiklik teklif etti.

Haberin tamamı için linke tıklayınız.

10. Avrupa Komisyonu GDPR’a uyum sağlanması hakkında Slovenya’ya müzekkere gönderdi.

Avrupa Komisyonu; Slovenya’ya, ülkenin veri korumaya dair yaklaşımını Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uyarlamasını emreden bir “gerekçeli görüş” gönderdi. İlgili görüş; Avrupa Komisyonu tarafından, Slovenya’nın GDPR kapsamında ortaya konulan “önemli yükümlülükleri” yerine getirmediğini ve Slovenya Veri Koruma Otoritesi’ne GDPR kapsamında düzenlenen tüm yetkilerini tanımadığını tespit eder nitelikle gönderilen ikinci görüş olarak kayıtlara geçti. Slovenya’ya, görüşe yanıt vermesi veya Avrupa Birliği Adalet Divanı’na başvurması için iki aylık bir süre verildi.Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

19/07/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Başbakanlıkta yaşanan çekişme, İngiltere Çevrimiçi Güvenlik Yasası görüşmelerini duraklattı.

Euractiv’in haberlerine göre, görevi sona eren Başbakan Boris Johnson’ın yerine geçecek olan kişinin belirleneceği siyasi çekişme sırasında Birleşik Krallık Çevrimiçi Güvenlik Yasası görüşmeleri Birleşik Krallık Parlamentosu tarafından ertelendi. AB Dijital Hizmetler Yasasına benzer hükümler taşıyan yasa tasarısı üzerindeki müzakerelerin Johnson’ın yerine geçerek başbakan olacak kişinin belirlenmesi ve Avam Kamarası’nın yaz tatilinden döndükten sonra muhtemelen eylül ayında devam edeceği belirtildi. İngiltere Parlamento Üyesi Kemi Badenoch, ertelemenin isabetli olduğunu, çünkü “taslağın yasa haline gelmeye uygun olmadığını” söyledi.

Haberin tamamı için linke tıklayınız.

2. EDPB sınır ötesi işbirliği kriterlerini belirliyor.

Avrupa Veri Koruma Kurulu (“EDPB”), sınır ötesi vakaların veri koruma makamları arasında daha yakın işbirliği gerektirip gerektirmediğini belirlemek için bir dizi kriter açıkladı. Ayrıca EDPB tarafından, veri aktarımına dair strateji belirlendikten sonra işbirlikçi eylem için atılacak adımların ana hatlarını belirleyen bir prosedür de belirlendi. EDPB Başkanı Andrea Jelinek, bu kaynakların, veri koruma otoritelerinin AB Genel Veri Koruma Yönetmeliğini daha verimli uygulamalarına yardımcı olmak için “kurulan yapbozun önemli bir parçası” olduğunu söyledi.

Haberin tamamı için linke tıklayınız.

3. EDPB, Avrupa Birliği (“AB”) ve Rusya arasında gerçekleşen veri aktarımları hakkında görüş bildirdi.

EDPB, AB üye ülkeleri ile Rusya arasındaki veri aktarımlarına ilişkin bir görüş yayınladı. EDPB, Rusya’nın Ukrayna’daki savaşıyla ilgili yaptırımların ardından artık AB yasal çerçevelerine ve protokollerine akit bir taraf olmadığını belirtti. AB’nin tanımaması veya bir yeterlilik kararının olmaması, Rus şirketlerinin dahil olduğu aktarımların yalnızca AB Genel Veri Koruma Yönetmeliği’nin V. Bölümünde sağlanan diğer aktarım araçlarından biri kullanılarak gerçekleştirilebileceği anlamına geliyor.

Haberin tamamı için linke tıklayınız.

4. Avrupa Parlamentosu veri yönetişimi üzerine gerçekleştirdiği çalışmayı yayınladı.

Avrupa Parlamentosu, AB’nin “veri adaleti perspektifiyle uyumlu” veri yönetişimi çerçeveleri için potansiyel politika seçenekleri hakkında bir çalışma yayınladı. Çalışma, AB’nin genel yönetişim stratejisi hakkındaki değerlendirme ve düşüncelere odaklanırken; Veri Yönetişimi Yasası ile ilgili daha dar politika ana hatları, Yapay Zeka Yasası ve Veri Yasası için öneriler sunuyor. “Kamu altyapısının ve mallarının korunması ve güçlendirilmesi”, “kapsayıcılık”, “tartışılabilirlik ve hesap verebilirlik” ve “küresel sorumluluk” Parlamentonun çalışmalarını dayandırdığı dört ilke olarak belirlendi.

Haberin tamamı için linke tıklayınız.

5. TikTok, DPC ‘etkileşiminden’ sonra hedeflenen reklam değişikliğini duraklatıyor.

TechCrunch’ın haberine göre, İrlanda Veri Koruma Komisyonu (“DPC”) gözetim ofisi ile yaşanan mülakatın ardından TikTok, Avrupa’da planlanan bir gizlilik bildirimi güncellemesini duraklattı ve buna göre artık kullanıcılara hedefli reklam sunmak için onay istemeyecek. Bir DPC sözcüsü, yapılan duraklamanın veri koruma otoritesinin “analizini sürdürmesine” izin vereceğini söyledi. Bu söylem üzerine bir TikTok sözcüsü, kişiselleştirilmiş reklamcılığın en iyi uygulama içi deneyimi sağladığını ve platformu endüstri uygulamalarıyla uyumlu hale getirdiğini söyledi. Bu arada İspanya’nın veri koruma otoritesi, Agencia Española de Protección de Datos, TikTok’un gizlilik bildirimi değişikliğine ilişkin bir ön soruşturma başlattığını duyurdu.

Haberin tamamı için linke tıklayınız.

6. Yeni Zelanda devlet kurumları yüz tanıma sistemlerinin kullanıma alınmasını değerlendiriyor.

RNZ’nin haberine göre, içeriden alınan belge ve bilgiler uyarınca Yeni Zelanda’da okullar da dahil olmak üzere devlet kurumlarının yüz tanıma özelliğini kullanması hakkında görüşmeler gerçekleştiriliyor. Şubat ayına ait bir belgeye göre; İçişleri Bakanlığı tarafından 2019 yılında geliştirilen Tek Seferlik Kimlik (“OTI”) sistemi, aşı pasaportu çalışması kapsamında kimlik doğrulanması amacıyla kullanılan sürücülerin görüntülerine erişim sağlanmasını başarılı şekilde sağladı. Baş Dijital Sorumlusu Stuart Wakefield, Eğitim Bakanlığı tarafından mevcut durumda OTI sisteminin çocukların erken öğrenime veya okula kaydının yapılmasında kullanışlı olmadığı değerlendirmesinin yapıldığını söyledi.

Haberin tamamı için linke tıklayınız.

7. Utah Yüksek Mahkemesi, mağdurların mahremiyet haklarını savunabilmeleri gerektiğine hükmetti.

The Salt Lake Tribune’nın haberine göre; Utah Temyiz Mahkemesi tarafından bir cinsel istismar mağdurunun mühürlü (kamu erişimine kapalı) danışmanlık kayıtlarının yayınlanması, eyaletin delil kurallarında var olan bir boşluğu ortaya çıkardı. 2019’da bir eyalet vatandaşı, bir aile yakınını kendisine çocukken cinsel tacizde bulunduğu iddiasıyla suçlamıştı. Suçlama akabinde fail ikinci derece ağırlığındaki bir suçtan hüküm giydi. Ancak, istinaf sürecinde, İstinaf Mahkemesi tarafından mühürlü danışmanlık kayıtları failin avukatına verildi. İlgili olayın devamında Utah Yüksek Mahkemesi, mağdurun mahremiyetini korumak amacıyla davaya katılmasına izin vermeyen alt mahkemenin hatalı olduğuna hükmetti.

Haberin tamamı için linke tıklayınız.

8. CNIL, AB Veri Yönetimi Yasası ve Veri Yasası hakkında görüşlerini sundu.

Fransa Veri Koruma Otoritesi (“CNIL”), Avrupa Veri Koruma Kurulu üyeleriyle birlikte AB Veri Yönetimi Yasası ve teklif edilen Veri Yasası hakkında ortak görüşlerini yayınladı. CNIL her iki düzenleme hakkında temel gerekliliklerin çerçevesini çizdi. Yayınlanan özette hükümlerin AB Genel Veri Koruma Tüzüğü ile uyumlu hale getirilmesi, AB vatandaşlarının hakları için güvenceler sağlanması ve daha fazlası yer alıyor. Görüş, Avrupa Komisyonu’nun veri koruma otoritelerini davetini takiben yayınlandı.

Haberin tamamı için linke tıklayınız.

9. Garante, kişiselleştirilmiş reklamlar konusunda TikTok’u uyardı.

İtalya Veri Koruma Otoritesi (“Garante”), hedefleme yapan reklamcılıkta kullanılan kişisel verilerin işlenmesi konusunda TikTok’a uyarıda bulundu. Uyarı, TikTok’un bilgilendirmeye dayalı açık rıza yerine meşru menfaat hukuki sebebine dayanılarak 18 yaş ve üstü kullanıcılara reklam yapılmasına yönelik tasarısını açıklamasını takiben yapıldı. TikTok’un güncellenmiş gizlilik politikası ve TikTok tarafından sunulan başkaca dokümanların gözden geçirilmesi sonrasında, Garante tarafından hukuki sebep değişiklikliği ile AB eGizlilik Direktifi’nin ihlal edildiği tespit edildi ve Direktif’e uyum sağlanması adına ivedi bir şekilde harekete geçilmesi talimatında bulunuldu.

Haberin tamamı için linke tıklayınız.

10. İzlanda Veri Koruma Otoritesi, çocukların kişisel verilerinin işlenmesi sebebiyle bir şehre para cezası verdi.

İzlanda Veri Koruma Otoritesi (“Persónuvernd”), SeeSaw öğrenci sistemi kapsamındaki veri işleme faaliyetleri nedeniyle Reykjavik şehrini 5 milyon kron para cezasına çarptırdı. Persónuvernd, ihlallerin “Veri Koruma Yasası uyarınca özel korumadan yararlanan çocukların kişisel verileriyle ilgili olduğunu” söyledi. Ek olarak, öğrencilerin özel yaşamlarına ilişkin öğretmenler tarafından SeeSaw sistemine eklenen geri bildirimler ve bilgiler ile çocuklara ait özel nitelikli kişisel verileri içeren bir ihlalin gerçekleşmiş olduğunun düşünüldüğü belirtildi. Persónuvernd ayrıca veri işleme için yetersiz bir yetkilendirme yapıldığını ve ABD’ye veri aktarılmasında “yüksek risk”in bulunduğunu belirtti.

Haberin tamamı için linke tıklayınız.

İOS UYGULAMA İÇİ “HESABIMI SİL” ÖZELLİĞİ GELİŞTİRME YÜKÜMLÜLÜĞÜ

06/07/2022

İOS UYGULAMA İÇİ “HESABIMI SİL” ÖZELLİĞİ GELİŞTİRME YÜKÜMLÜLÜĞÜ

Apple tarafından 06.10.2021 tarihinde yayınlanan App Store Review Guideline (“Kılavuz”) uyarınca uygulama geliştiricilerin, uygulama içerisinde hesap oluşturma imkanı sunması halinde, bu hesabın silinmesine de imkan veren bir özellik eklemeleri gerekmektedir. Peki söz konusu yükümlülüğün kanuni dayanağı bulunuyor mu? KVKK kapsamında almamız gereken ek bir aksiyon var mı? Hesabın silinmesi halinde işlenen kişisel verilerin akıbeti ne olacaktır? Bu sorular ve daha fazlasının cevabı bu ayki blog yazımızda!

Yükümlülüğe dayanak olan kılavuz hükmü nedir?

22.01.2022 tarihinde Apple tarafından yayınlanan ek yönerge içerisinde bu özelliğin geliştirilmesi için son tarih 30.06.2022 olarak belirlenmiştir. Bu tarihten itibaren söz konusu özelliği geliştirmeyen uygulama geliştiricilerin, Apple tarafından uygulanabilecek güncelleme engellemesi ve/veya uygulamanın doğrudan App Store üzerinden kaldırılması yaptırımlarıyla karşı karşıya kalması söz konusu olabilecektir.

Kılavuz’un 5.1.1 hükmü uyarınca hesap oluşturmaya izin veren tüm uygulamaların, kullanıcıların hesaplarını silme işlemini uygulama içerisinden gerçekleştirmesine izin vermesi gerekmektedir. Bu hüküm ile Apple tarafından kullanıcılara kişisel verileri üzerinde daha fazla hakimiyet sağlanması amaçlanmıştır.

Uygulama içi hesap silme özelliğine ilişkin standartlar nelerdir?

Apple tarafından yayınlanan ek yönergede aşağıdaki standartların sağlanması gerektiği vurgulanmıştır:

• Hesap silme seçeneğinin uygulama içerisinde bulunması kolay olmalıdır.

• Bir hesabı geçici olarak devre dışı bırakma veya “deaktif etme” opsiyonu sağlamak tek başına yeterli değildir. Kişiler, kişisel verileriyle birlikte hesabı silebilmelidir.

• Yüksek düzeyde regülasyona tabi sektörlerde faaliyet gösteren uygulamaların, hesap silme sürecini onaylamak ve kolaylaştırmak için ek destek akışları sağlaması gerekebilir.

• Kullanıcı hesabı bilgilerinin saklanması ve depolanmasına ilişkin yürürlükteki yasal mevzuata uyum sağlanması gerekmektedir. Bu gereklilik, farklı ülke ve bölgelerdeki yerel yasaların her birine uyum sağlanmasını gerektirmektedir.

• Uygulama içerisindeki gizlilik politikaları ve aydınlatma metinlerinde kullanıcılara yeterli düzeyde bilgilendirme yapılması gerekmektedir.

Apple tarafından getirilen bu yükümlülüğün Kişisel Verilerin Korunması Hukuku kapsamında yasal dayanağı bulunmakta mıdır?

Apple tarafından iOS politikası içerisinde gerçekleştirilen bu değişiklik, doğrudan Amerika Birleşik Devletleri veya Avrupa Birliği içerisindeki herhangi bir açık mevzuat hükmüne dayanmamaktadır. Ancak politika içerisindeki bu düzenleme, Kaliforniya Tüketici Mahremiyet Yasası (“CCPA”), Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”), Kişisel Verilerin Korunması Kanunu (“KVKK”) ve sair mevzuatlarda düzenleme altına alınan genel ilkeler arasında yer alan ölçülülük ilkesi, veri minimizasyonu ilkesi, dürüstlük kuralı gibi hukuk ilkelerinden doğmakta ve bu ilkeler ile uyumluluk göstermektedir.

Bilindiği üzere, KVKK’nın 11. maddesi ve 7. maddesi uyarınca ilgili kişiler, kişisel verilerinin silinmesini talep etme hakkına sahiptir. Bu hallerde, veri sorumluları tarafından öncelikle söz konusu verilerin yasal saklama süresi değerlendirilerek bu yasal yükümlülüğün devam ettiği hallerde talebe konu kişisel verilerin muhafaza edilmeye devam edileceğine dair ilgili kişilere bilgilendirme yapılması önem arz etmektedir. Yanı sıra, ilgili kişilere kişisel verilerini silme talebini ileri sürebileceği elverişli kanallar sunulması gerektiğine ilişkin yasal yükümlülükler halihazırda Kişisel Verileri Koruma Kurumu’nun ​​30356 sayılı Veri Sorumlusuna Başvuru Usul Ve Esasları Hakkında Tebliğ’inde (“Tebliğ”) düzenleme altına alınmıştır. Bu yükümlülük, Tebliğ’in 5. maddesinin 1. fıkrasında “İlgili kişi, Kanunun 11 inci maddesinde belirtilen hakları kapsamında taleplerini, yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna iletir.” şeklinde ifade edilmiştir. Madde lafzından açıkça görüldüğü üzere, mobil uygulama içerisinde kişisel verilere ilişkin ilgili kişi haklarının ileri sürülmesine imkan tanınması bir yükümlülük olarak düzenlenmemiştir.

İmha talebi kapsamında Apple tarafından getirilen ek yükümlülük ise, yalnızca bu talep hakkının ileri sürülme kanalının uygulama içerisinde konumlandırılmasına ilişkindir. Diğer bir ifadeyle; ilgili kişiler, herhangi bir web sitesi, çağrı merkezi veya sair kanala yönlendirilmeksizin uygulama içerisinden kolaylıkla hesaplarını ve bu hesaplarıyla bağlantılı kişisel verilerini, yasal mevzuat hükümleri saklı kalmak kaydıyla, sildirebileceklerdir.

Tüm bu sebeplerle, mobil uygulama içerisinde kişisel verilerin imhası talebininin ileri sürülebileceği bir kanal oluşturulmasının KVKK kapsamında hukuki bir yükümlülük olmadığı açıktır. Ancak, yegane tartışma ilgili kişinin “hesabımı sil” talebiyle birlikte kişisel verilerinin silineceği yönünde bir yanılgıya düşüp düşmeyeceği ve bu doğrultuda veri sorumlusunun dürüstlük kuralına aykırı davrandığının iddia edilip edilemeyeceğine ilişkin olacaktır. Bu noktada, mobil uygulama içerisindeki politika ve aydınlatma metinlerinde yeterli bilgilendirme yapılması kaydıyla, birçok elverişli başvuru kanalı sunan veri sorumlusunun “hesabımı sil” özelliğiyle birlikte kişisel verilerin imhası talebinin ileri sürülmesine imkan tanımaması gerekçesiyle dürüstlük kuralına aykırı davrandığı iddiasının isabetli olmayacağı kanaatindeyiz.

Hesap silme talebi akabinde kişisel verilerin akıbeti ne olacaktır?

Geliştirilen özelliğin ve getirilen bu yükümlülüğün, uygulamadaki karşılığının henüz görülmediği de göz önünde bulundurularak; hesap silme talebiyle birlikte kişisel verilerin de silinmesinin gerekip gerekmediği hususu tartışılmaya devam edilmektedir. Bu noktada, evrensel dürüstlük kuralı çerçevesinde ilgili kişilerin hesaplarını kapatma taleplerindeki saiklerinin içerisinde, kişisel verilerinin hesap ile bağlantılı olarak işlenmesine devam edilmemesi saikinin de bulunduğu öne sürülebilmektedir. Kaldı ki, her ne kadar hukuki tartışmaya doğrudan bir katkı sağlamayacak olsa da, Apple tarafından yayınlanan yönergede kişilerin hesabı kişisel verileriyle birlikte silmesine imkan tanınması gerektiği vurgulanmıştır. Bu doğrultuda ortaya çıkabilecek makul değerlendirme, hesaba ilişkin kişisel verilerin aktif kullanıcılara sunulan hizmetler kapsamında işlenmemesi gerektiğidir. Örneğin; kullanıcının hesabını silmesinden sonra aynı kullanıcıya hesabı ile bağlantılı e-posta üzerinden uygulamaya ait bir geliştirmeye ilişkin bilgilendirme e-postası gönderilmemelidir.

Ancak, önemle vurgulamak isteriz ki, bu süreçte yasal mevzuat kapsamındaki yükümlülükler saklı olacaktır. Dolayısıyla, veri sorumluları tarafından mevzuattan kaynaklanan saklama faaliyetleri ve yasal saklama süresi kapsamındaki kişisel verilerin silinmemesi hususunda azami önem gösterilmelidir.

Söz konusu yükümlülük Android ve Google Play Store için de geçerli midir?

Android ve Google Play Store bünyesinde bu yönde herhangi bir açık düzenleme getirilmemiştir. Ancak aynı uygulamanın App Store ve Google Play Store’da sunulduğu hallerde standartların uyumlaştırılmasına ilişkin olarak veri koruma otoritelerinin yönlendirici kararlar vermesinin yakın gelecekte mümkündür. Bu sebeple, teknik altyapı ve ticari menfaatlerin operasyonel ve ekonomik açıdan elvermesi halinde; söz konusu geliştirmenin veri sorumluları tarafından her iki platformdaki mobil uygulamalarda yapılması faydalı olacaktır.

Sonuç

Uygulama içi hesabımı sil özelliğini geliştirme yükümlülüğü, Apple tarafından yalnızca uygulama içerisinde hesap oluşturma imkanı tanıyan uygulama geliştiricilerine yönelik olarak getirilmiştir. Apple tarafından App Store üzerinde çeşitli teknik yaptırımlar uygulanması mümkün olacaktır. Ancak bu yükümlülüğünün, hukuki dayanakları bulunmakla birlikte GDPR, KVKK ve sair veri koruma mevzuatları kapsamında hukuki yaptırım riski taşıyıp taşımadığı oldukça tartışmalıdır. Kanaatimiz, veri sorumluları hukuki ve ticari riskleri kıyaslayarak “Hesabımı Sil” özelliği ile birlikte kişisel verilerin akıbeti ve ticari ileti izinlerinin akıbetine karar verebilecektir. Ancak, bu kararın verilmesi akabinde, hukuki riskin minimize edilmesi için veri sorumluları tarafından yanılgıya yer vermeyecek surette ilgili kişilere bilgilendirme yapılması mutlak surette gerekli olacaktır.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

05/07/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Norveç, kullanıcıların cinsiyet kimliklerini korumak amacıyla veri işleme kuralları yayınladı.

Norveç Veri Koruma Otoritesi (“Datatilsynet”), kişisel veri işleyen şirketlere yönelik yeni gizlilik kuralları yayınladı. Yeni getirilen kurallar ile birlikte kullanıcıların cinsiyet kimliklerinin daha iyi korunması amaçlanmaktadır. Dokuz kuraldan oluşan listede, veri toplama amacına göre kullanıcıya yönelik faaliyetlerin özelleştirilmesi ve gerekli olmayan tüm bilgilerin silinmesi, hak ve ilkelere dikkat edilmesi; önyargı, ayrımcılık ve güvenlik risklerinin farkında olunması yer alıyor.

Haberin tamamı için linke tıklayınız.

2. Çin’de yurt dışında kişisel veri işlenmesi konusunda kılavuz yayınlandı.

Çin Ulusal Bilgi Güvenliği Standardizasyon Teknik Komitesi, kişisel verilerin “standart bir şekilde” ve Kişisel Verilerin Korunması Kanunu’na uygun olarak yurt dışında işlenmesine ilişkin bir kılavuz yayınladı. “Siber Güvenlik Standartları — Kişisel Verilerin Yurt Dışında İşlenmesine İlişkin Rehberler”, yurt dışı aktarımlar için temel güvenlik ilkelerinin ve gerekliliklerinin yanı sıra “ilgili kişilerin hak ve menfaatlerinin korunmasını” da kapsamaktadır.

Haberin tamamı için linke tıklayınız.

3. Vergiden muaf hanelere fayda sağlamakla görevli bir şirkette çalışan tüm Japon şehrinin kişisel verilerini kaybetti.

BBC News’in haberine göre, ismi açıklanmayan bir şirket çalışanı Japonya’nın Amagasaki kentinde yaşayan yüz binlerce kişinin fiziksel durumdaki kişisel verilerini kaybetti. Çalışan, bir iş toplantısı için kişisel verileri bir USB taşıyıcıya aktardı ve gece yerel bir restoranda içki içmek üzere vakit geçirmeye çıktığında birden USB taşıyıcıyı kaybetti. Kaybolan USB taşıyıcıda vatandaşlara ait ad-soyad, doğum tarihi, adres, vergi bilgilerine ilişkin detaylar ve banka hesap numaraları yer alıyordu. Yetkililer, verilerin şifrelenmiş olduğunu ifade etti.

Haberin tamamı için linke tıklayınız.

4. Veri Koruma Otoriteleri, parolaların tekrar kullanılmasından yararlanan siber tehditlerden korunmaya yönelik kılavuz yayınladı.

Kanada Veri Koruma Otoritesi ile birlikte birkaç uluslararası veri koruma otoritesi, bireylerin birden fazla hesapta kullanıcı adlarının, e-posta adreslerinin ve parolaların yeniden kullanılmasından yararlanan siber tehditlere karşı korunmalarına yardımcı olacak bir kılavuz yayınladı. Otoriteler, kılavuzu Küresel Gizlilik Meclisi’nin Uluslararası İcra İşbirliği Çalışma Grubu çatısı altında hazırladı. Kılavuz, öngörülebilir parolalardan kaçınmayı, çok faktörlü kimlik doğrulama kullanmayı ve bir hesap ele geçirildikten hemen sonra parolanın değiştirilmesini öneriyor.

Haberin tamamı için linke tıklayınız.

5. CNIL, pazarlama konulu ileti göndermek için müşteri verilerini kullanan enerji şirketine para cezası verdi.

Fransa Veri Koruma Otoritesi (“CNIL”), bir enerji şirketine 1 milyon euro para cezası verdi. CNIL, Totalenergies ile imzalanan sözleşme esnasında kişisel verileri kullanılarak pazarlama iletilerini almayı kabul eden müşterilerin açık rızalarını geri almalarına izin vermediği için Totalenergies Electricite Et Gaz France’a para cezası verdi. Şirket, ilgili kişilerin GDPR kapsamındaki haklarını kullanmalarını imkan tanımadığı için de ayrıca cezalandırıldı.

Haberin tamamı için linke tıklayınız.

6. CISA güvenli bulut geçişlerine ilişkin kılavuzu güncelliyor.

ABD Siber Güvenlik ve Altyapı Ajansı, bulut sistemine güvenli geçişin sağlanması, güvenlik yönetimi ve daha fazlası hakkında kuruluşlara rehberlik sağlayan “Bulut Güvenliği Teknik Referans Mimarisi”nin ikinci versiyonunu yayınladı. CISA’nın Siber Güvenlikten Sorumlu Yönetici Yardımcısı Eric Goldstein, “Bulut ortamlarını kullanan veya bulut ortamlarına geçiş yapan tüm kuruluşlar, bu belgeyi gözden geçirmeli ve kurumsal riski en etkin şekilde yönetmek için buradaki uygulamaları benimseyerek hayata geçirmeli.” ifadelerini kullandı.

Haberin tamamı için linke tıklayınız.

7. Bir bakışta Birleşik Krallık Veri Koruma Reformu.

Birleşik Krallık hükümeti tarafından yakın zamanda hükümetin sunduğu tekliflerin tartışıldığı bir kamuoyu istişaresine verilen yanıtların yayınlanmasından sonra, hükümetin veri koruma yolundaki ilerlemesi devam ediyor. IAPP Research and İnsights ekibi, Birleşik Krallık hükümetinin yaklaşık 3 bin yorumu gözden geçirdikten sonra devam etmeyi planladığı beş bölüm değerindeki tekliflere genel bir bakış sağlamak için bir tablo hazırladı. Ayrıca IAPP, Birleşik Krallık reformları üzerine bir LinkedIn Live etkinliğine ev sahipliği yaptı.

Haberin tamamı için linke tıklayınız.

8. AB ve ABD tüketici grupları Google’ın veri toplamasına karşı şikayette bulunmayı planlıyor.

The Wall Street Journal’ın haberine göre, beş farklı Avrupa ülkesinden tüketici grupları Google’ın veri toplama uygulamalarına karşı resmi şikayette bulunmayı planlıyor. Gruplar, kullanıcıların verilerinin hedefli reklamcılık için nasıl kullanıldığı konusunda bilgilendirilmediklerini ve veri toplamayı devre dışı bırakmanın birkaç adım gerektirmesine rağmen katılmanın tek bir tıklama ile mevcut olmasının hukuka uygun olmadığını iddia ediyorlar. ABD menşeli birkaç teknolojisi ve tüketici grubu da benzer şikayetleri ABD Federal Ticaret Komisyonu’na gönderecekleri bir mektupta özetlemeyi planlıyor.

Haberin tamamı için linke tıklayınız.

9. Yapılan bağımsız inceleme sonucunda, Birleşik Krallık biyometri reformu açısından ‘aciliyet’ söz konusu olduğu belirtildi.

TechCrunch’ın haberlerine göre, İngiltere merkezli bir yapay zeka savunuculuk grubu olan Ada Lovelace Enstitüsü, İngiltere’nin biyometrik teknolojiler düzenlemesi hakkında bağımsız bir inceleme yaptı. Matrix Chambers Queen’in Danışmanı Matthew Ryder incelemeyi kaleme aldı ve mevcut düzenleyici rejimin “parçalanmış, kafası karışmış ve ayak uyduramayan” olduğu için Birleşik Krallık’ın “biyometriye özgü iddialı yeni bir yasal çerçeve” gerektirdiğini tespit etti. Önerilen Birleşik Krallık veri reformları, kolluk kuvvetlerinin biyometrik veri kullanımını ele almayı amaçlıyor. Ancak teklif, genel biyometrik dağıtımlar üzerinde derinlemesine ilerletilemiyor.

Haberin tamamı için linke tıklayınız.

10. Fransız Devlet Konseyi, çerezler hakkında Amazon’un 35 milyon euroluk cezasını onayladı.

Fransız Veri Koruma Otoritesi (“CNIL”) tarafından Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki çerez ihlalleri nedeniyle Amazon’a verilen 35 milyon euroluk ceza Danıştay tarafından onaylandı. Danıştay, Amazon’un Aralık 2020’den itibaren çerezleri izinsiz uygulama ve kullanıcıları uygulama hakkında bilgilendirmemeyle ilgili ihlallerini onaylarken CNIL’ın konuyla ilgili yetki ve kabiliyetini de ayrıca onayladı.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

28/06/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. İtalyan Veri Koruma Otoritesi Google Analytics aktarımlarının durdurulmasını emrediyor.

İtalyan Veri Koruma Otoritesi (“The Garante”), Google Analiytics kullanılarak ABD’ye veri aktarımının önüne geçilmesine yönelik karar vererek Avusturya ve Fransız veri koruma otoritelerine katıldı. Garante, web sitesi operatörleri tarafından çerezler vasıtası ile toplanan Google Analytics verilerinin aktarımının AB Genel Veri Koruma Tüzüğü’nü (“Tüzük”) ihlal ettiğine karar verdi. Tüzük’ü ihlal eden şirketlerin bu ihlali gidermek için 90 gün süresi olacak ve Tüzük’e uygunluğa Garante karar verecek. ​​Garante, kararın yapılan şikayetlerden kaynaklandığını ve diğer Avrupa gizlilik koruma otoritelerince verilen kararlar ile paralellik gösterdiğini ifade etti.

Haberin tamamı için linke tıklayınız.

2. Teknoloji şirketleri ve organizasyonları ​​Metaverse standartları organizasyonları oluşturuyor.

Reuters’ın haberine göre, Meta ve Microsoft’un da içinde yer aldığı teknoloji şirketleri ve bunun yanı sıra “World Wide Web Konsorsiyumu” ile benzer gruplar, uyumluluk ve endüstri standartları oluşturmak için Metaverse Standartları Forumu’na katıldı. Şu Anda Apple bu forumun bir parçası değil. Forumun başkanlığını yapan Nvidia ve Geliştirici Ekosistemlerden Sorumlu başkan yardımcısı Neil Trevett; forumun meta veri tabanında, standart kuruluşları ve şirketler arasındaki iletişim aracılığıyla “gerçek dünya ile birlikte çalışılabilirlik” husunda geliştirmeyi hedeflediğini söyledi.

Haberin tamamı için linke tıklayınız.

3. Google müşteri verilerini en aza indirmeye çalışıyor.

The Economic Times’ın haberine göre , Google’ın Gizlilik Baş Sorumlusu Keith Enright (CIPP/G, CIPP/US) şirketin, müşteri bilgilerini mümkün olan en az miktarda tutmaya yöneleceğini söyledi. Google tarafından tutulan verilerin, kolluk kuvvetlerinin erişimine ve uyulması gereken yasal taleplere hizmet edeceği belirtildi. Mümkün olan en az şekilde verilerin tutulmasının, bir siber güvenlik olayı durumunda Google’a yönelik riski de azaltma amacına hizmet edeceği ifade edildi. Enright’ın söylemine göre dünya genelinde farklı gizlilik, veri koruma ve veri depolama yasalarının var olması, bir başka deyişle bu yasalardaki ‘parçalanma’ Google’ın müşteri gizliliği çabalarına büyük zorluklar getirebilecek ve bazı ülkelerde sunulan hizmetlerin diğerlerinde kullanılmasının mümkün olmamasına neden olabilecek.

Haberin tamamı için linke tıklayınız.

4. İnstagram yaş doğrulamasını deniyor.

Axios’un haberine göre, yaş kısıtlamalarının daha iyi uygulanması ve çocukların çevrimiçi güvenliğinin desteklenmesi amacıyla Instagram, ABD’li kullanıcılar üzerinde bir yaş doğrulama planı yürütüyor. Kullanıcıların, yaşlarını 18 yaş altından 18 yaş üstüne değiştirmesi sırasında kullanılacak doğrulama metodları; 30 günlük süre ile sınırlı olarak saklanacak kimlik kartı yüklenmesi, 18 yaş ve üstü üç kullanıcı tarafından onay alma veya yaş onaylaması tamamlandıktan sonra silinen bir selfie kaydetme yöntemlerini içeriyor. Meta Veri Yönetimi ve Kamu Politikası Direktörü Erica Finkle, yaşa uygun deneyimler sağlamaya odaklandıklarını ve bu nedenle yaş doğrulama metodlarını denemeye aldıklarını belirtti.

Haberin tamamı için linke tıklayınız.

5. ABD siber güvenlik yasa tasarısı hayata geçirildi.

The Hill’in haberine göre, ABD Başkanı Joe Biden federal, eyalet ve yerel yönetimler arasında siber güvenlik önlemlerini geliştirmeyi hedefleyen iki yasa tasarısı imzaladı. Federal Rotasyonlu Siber İşgücü Programı Yasası siber güvenlik uzmanlarının uzmanlık sunmaları açısından federal kurumlar aracılığıyla dönüşümlü olarak çalışmalarını; Eyalet ve Yerel Yönetim Siber Güvenlik Yasası ise İç Güvenlik Bakanlığı ile eyalet ve yerel yönetimler arasındaki siber güvenlik konusunda koordinasyonu geliştirmek için kullanılacak.

Haberin tamamı için linke tıklayınız.

6. ABD bankasının veri ihlali 1,5 milyon müşteriyi etkiledi.

ZDNet’in haberine göre; ABD merkezli finans kuruluşu Flagstar Bank, Aralık 2021’in başlarında ağına yetkisiz erişimin sağlandığını ve 1,5 milyona kadar müşterisinin kişisel verilerinin ifşa olduğunu belirtti. Şirket, “çevresini güvene almak ve olayı üçüncü taraf adli uzmanlarının yardımıyla araştırmak için derhal harekete geçtiğini” söyledi ve verilerin sızdırıldığına, satıldığına veya kötüye kullanıldığını zannetmediğini belirti.

Haberin tamamı için linke tıklayınız.

7. Rus mahkemesi, Rus vatandaşlarının verilerini Rusya içerisinde saklamadığı için Google’a 15 milyon ruble para cezası verdi.

Rus Veri Koruma Otoritesi (“Roskomnadzor”); Moskova’nın Tagansky Bölgesi Sulh Mahkemesi’nin, Rus vatandaşlarının verilerinin Rusya içerisinde olacak şekilde yerelleştirilmesini “tekrar reddetmesi” nedeniyle Google’a 15 milyon ruble para cezası verdiğini duyurdu. Daha önce yerelleştirme şartını ihlal eden Google, 2021’de 3 milyon ruble para cezası ödemişti. Mahkeme ayrıca Rus vatandaşlarının verilerini Rusya sınırları içinde saklamadığı gerekçesiyle uygulama geliştiricisi Likeme’ye 1,5 milyon ruble para cezası verdi.

Haberin tamamı için linke tıklayınız.

8. CNIL, hayır kurumları için veri paylaşım rehber yayınladı.

Fransız Veri Koruma Otoritesi (“CNIL”), AB Genel Veri Koruma Tüzüğü çerçevesinde hayır kurumları ve vakıflar arasında kişisel veri paylaşımını düzenleyen rehber yayınladı. Rehber, bağış yapacak potansiyel hayırseverlerin verilerini diğer hayır kurumlarına veya ticari kuruluşlara aktaran hayır kurumlarını ve bağış yapanların profillerini satan şirketleri kapsıyor. Rehber kapsamında sunulan yönergeler, verilerin paylaşılması akabinde ne şekilde yeniden kullanılacağına göre değişiklik gösteriyor.

Haberin tamamı için linke tıklayınız.

9. Sigorta şirketi, biyometrik verilere ilişkin açılan toplu davada uzlaşmak için 4 milyon dolar ödeyecek.

Top Class Action’un haberine göre; ABD merkezli sigorta şirketi Lemonade, Illinois Biyometrik Bilgilerin Gizliliği Yasası’nı ihlal ettiği iddiasıyla açılan toplu davada davacılar ile uzlaşmak için 4 milyon dolar ödeyecek. İddialara göre Lemonade, video ile taleplerini sunan müşterilerin rızası olmaksızın biyometrik verilerini topluyordu. Uzlaşma ülke çapında Lemonade ile poliçe düzenleyen müşterileri kapsıyor ancak anlaşmanın 3 milyon dolarını Illinois vatandaşları alacak.

Haberin tamamı için linke tıklayınız.

10. Veri gizliliğinin LGBTQ+ bireyler üzerindeki etkisini inceleyen ‘Rapor’.

LGBT Tech işbirliği ile Geleceğin Gizliliği Forumu tarafından yayınlanan rapora göre, LGBTQ+ bireyler çevrimiçi gizlilik ihlalleri sebebiyle orantısız bir şekilde mağdur oluyor. Rapor ile birlikte; LGBTQ+ topluluklarının “tarihsel olarak” teknolojiyi ilk benimseyen topluluklar olmasına rağmen, teknolojiden zarar görmeye de en yatkın topluluklar oldukları tespit edildi. Rapor; “politika yapanlara ve kuruluşlara, veri mahremiyet ile LGBTQ+ geçmişinden ders almaları” gerektiğini belirtiyor. Veri gizliliğinin, bireysel ve toplu zararlara yol açan önyargı ve riskleri hafifletme ya da önleme çalışmalarına devam ederken LGBTQ+ bireylerinin nasıl korunabileceği üzerinde de durulması çağrısında bulundu.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

14/06/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. CNIL, Google Analytics aracılığıyla gerçekleştirilen veri aktarımlarına ilişkin uyumluluk yönergeleri hakkında soru-cevap dokümanı yayınladı.

Fransa veri koruma otoritesi, Commission nationale de l’informatique et des libertés (“CNIL”), Google Analytics aracılığıyla gerçekleştirilen veri aktarımları hakkında şirketlere verilen belirsiz sayıdaki uyumluluk yönergelerine ilişkin bir soru-cevap dokümanı yayınladı. Doküman, 30 günlük uyumluluk süresi ve Google Analytics’in hukuka uygun ve hukuka aykırı kullanımlarına ilişkin CNIL’in tutumu da dahil olmak üzere yönergelerin çeşitli yönlerine ilişkin açıklamalar içeriyor.

Haberin tamamı için linke tıklayınız.

2. Avrupa Birliği tüketici otoriteleri kişisel veri uygulamaları konusunda WhatsApp’a baskı yapıyor.

Ulusal tüketici otoriteleri tarafından yönetilen Avrupa Komisyonu Tüketici Koruma İşbirliği Ağı (“CPC Ağı”), WhatsApp’a kişisel verileri kullanımı hakkında açıklama yapması için ikinci kez çağrıda bulunan bir mektup gönderdi. İlk çağrı Ocak ayında yapılmış ve Mart ayında yanıtlanmıştı. Ancak, CPC Ağı, WhatsApp’ın hizmet şartları ve gizlilik bildirimindeki güncellemeler hakkındaki endişelere karşı şirketin yaptığı açıklamalara ikna olmadı. İkinci kez yapılan bu çağrının yanıtlaması için Whatsapp’ın Temmuz ayına kadar süresi bulunuyor.

Haberin tamamı için linke tıklayınız.

3. Danimarka veri koruma otoritesi, veri aktarımlarında “veri aktaran” rolünü netleştiriyor.

Danimarka veri koruma otoritesi Datatilsynet, sınır ötesi veri aktarımları kapsamında veri aktaranın rolü ve sorumluluklarına ilişkin değerlendirmelerini yayınladı. Otorite, veri sorumlularını ve veri işleyenleri Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) 44. maddesi altında düzenlenen yükümlülüklere tabi tutacağını belirtti. Kısa kılavuz metni, veri işleyenin kendisi Avrupa’da bulunmasına karşılık bir veya daha fazla alt veri işleyeni Avrupa Birliği ya da Avrupa Ekonomik Alanı dışında bulunan veri işleyenleri kullanmakta olan veri sorumlularına yönelik olarak hazırlandı.

Haberin tamamı için linke tıklayınız.

4. Avrupa Birliği Veri Yönetişimi Yasası, Resmi Gazete’de yayınlandı.

Avrupa Birliği Veri Yönetişimi Yasası, 3 Haziran’da Avrupa Birliği Resmi Gazetesi’nde yayınlandı. Yeni ürün ve hizmetlerin geliştirilmesi amacıyla kamu sektöründeki kişisel verilere daha fazla erişim yetkisi tanıyan yasa, 23 Haziran’da yürürlüğe girecek ve şirketler için 15 ay sonra geçerli olacak.

Haberin tamamı için linke tıklayınız.

5. Apple, gizlilik ihlalleri nedeniyle yüz binlerce uygulamayı engelledi.

Bleeping Computer’ın haberine göre; Apple, geçen yıl boyunca gizlilik ihlalleri nedeniyle 343.000 adet iOS mobil uygulamasını App Store üzerinden engelledi. Kaldırılan uygulamaların bir kısmı, Apple tarafından 2021 yılında App Store’da listelenmesi engellenen 1,6 milyon adet riskli veya hassas uygulamanın parçasıydı. Geriye kalan uygulamalar ise kullanıcıları yanlış yönlendirmeye veya kullanıcılara spam göndermeye çalıştıkları gerekçesiyle App Store’dan kaldırıldı. Bu uygulamalar, gizli veya belgelenmemiş nitelikte özellikler içeriyor ya da Apple’dan onay aldıktan sonra uygulamaya ek özellikler eklemek gibi “yemle-ve-değiştir” taktikleri kullanıyordu.

Haberin tamamı için linke tıklayınız.

6. Maryland’de, Kişisel Verilerin Korunması Yasası yürürlüğe girdi.

Maryland, Kişisel Verilerin Korunması Yasası’nı yürürlüğe koydu. İlgili yasa ile Maryland’deki tüketicileri belirlenebilir kılan kişisel verileri korunması ve gizliliğin ihlal edilmesi durumunda bilgilendirilmelerini sağlanması amaçlanmaktadır. Maryland Başsavcısı Brian Frosh ifadelerinde mevzuatın, “bir veri güvenliği ihlali durumunda tüketicilere bildirim yapılması ve tüketici belirlenebilir kılan kişisel verilerin korunması için alınması gereken makul güvenlik önlemlerini düzenleyen hükümler içerdiği”ni belirtti. Mevzuat uyarınca, tüketicilere 45 gün içinde bir ihlal bildirimi yapılması gerekiyor.

Haberin tamamı için linke tıklayınız.

7. Minnesota’da, öğrenci mahremiyet yasasını onaylandı.

Minnesota’da, eğitime ilişkin verileri düzenleyen bir öğrenci gizlilik yasasını onaylandı. 2022-2023 öğretim yılı ve sonrası için geçerli olan yasa tasarısı ile; teknoloji tedarikçilerinin, bir eğitim kurumuyla yapılan sözleşme sonucunda eğitime ilişkin oluşturulan, elde edilen veya paylaşılan hiçbir verinin sahibi olmadığı; verilerin pazarlama veya verileri kullanarak reklam yapılması dahil olmak üzere herhangi bir ticari amaç için kullanamayacağı; bir cihazın konum izleme özelliğine, sesli veya görsel kayıtlarına ve internet tarayıcı geçmişine erişemeyeceği veya bunları takip edemeyeceği ortaya konulmuştur. Tasarı’da ayrıca, bir öğrencinin eğitimine ilişkin kişisel verilerini etkileyen herhangi bir müfredat, test veya değerlendirme durumunda velilere bildirim yapılması gerektiği de düzenlenmektedir.

Haberin tamamı için linke tıklayınız.

8. Yüz tanıma teknolojisi sayesinde Delta yolcuları için havalimanında yer alan ekranları kişiselleşiyor.

Gizmodo’nun haberine göre, Detroit Metropolitan Havalimanı’na kurulan yeni bir ekran ile Delta yolcuları kişiye özel uçuş bilgilerini görebilecek. Misapplied Sciences tarafından geliştirilen Parallel Reality görüntüleme teknolojisi, aynı anda en fazla yüz kişiyi takip etmek, hedeflemek ve kişiye özel uçuş bilgilerini göstermek için için yüz tanıma özelliğini kullanıyor. Bu sayede yolculara, kişiye özel uçuş bilgilerini sunuyor. Bilgiler, yalnızca biniş kartını taranması akabinde yolcu tarafından ekrana bakarken görülebilir durumda olacak. Delta, programın yolcunun aktif rızasına bağlı olduğunu ve verilerin saklanmadığını belirtti.

Haberin tamamı için linke tıklayınız.

9. ICE, göçmenleri takip etmek için mobil cihazları kullanıyor.

CNN’in haberine göre; ABD Göçmenlik ve Gümrük İdaresi göçmenleri takip etmek için GPS özelliğine sahip elektronik kelepçe veya internete bağlanma ve arama yapma özelliği olmayan telefonları kullanıyor. Devlet tarafından dağıtılan cihazların kaç göçmen tarafından alındığı belli değil ancak mevcut durumda 185 bin kişi uygulamalara bağlanan SmartLINK uygulaması tarafından izleniyor. Uygulama; kimlik doğrulamasının yapılması, GPS veri noktalarının toplanması ve daha fazlası için yüz tanıma özelliğini kullanıyor. İnsan hakları savunucuları, cihazların teknoloji ve gizlilikle ilgili endişeleri artırdığını söyledi.

Haberin tamamı için linke tıklayınız.

10. Massachusetts sağlık kuruluşunun ihlali 2 milyon kişiyi etkiliyor.

NBC10 Boston’ın haberine göre Shields Health Care’de meydana gelen bir veri ihlali 56 adet sağlık tesisini ve bunların hastalarını etkilemiş olabilir. ABD Sağlık ve İnsan Hizmetleri Departmanı Sivil Haklar Ofisi, 2 milyon kişinin etkilendiğini açıkladı. Massachusetts merkezli sağlık kuruluşu Quincy, 7 ve 21 Mart tarihleri ​​arasında bazı sistemlerine ve verilerine yetkisiz bir kişinin erişim sağladığını tespit etti. Şirket; ifşa edilen verilerin arasında Sosyal Güvenlik numaralarının, doğum tarihlerinin, adreslerin, tıbbi bilgilerin, fatura bilgilerinin olduğunu ve daha fazlasının da olabileceğini belirtti.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

07/06/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Google konum hatırlatma özelliğini kaldırıyor.

Gizmodo’nun haberine göre; Google, “Google Asistan”ı kullanan mobil ve akıllı cihazlarda konum hatırlatma özelliğini kaldırmayı planlıyor. Bu özellik, bir cihazda kesin konumu hesaplayarak, kullanıcılara belirli lokasyonlarda belirli işlerini yapmalarını hatırlatıyordu. Google tarafından özelliğin kaldırılmasına ilişkin herhangi bir yorum yapılmadı. Ancak, “Google Asistan”ın işlevleri ve uygulamaları hakkında yayınlanmış olan bir bilgi sayfası, uygulamanın cihazlarda kullanıcı verilerini takip ettiğine işaret ediyor. Buna rağmen, “Google Asistan”’ın gizlilik bildirimi ise yalnızca kullanıcı ayarlarına bağlı olarak ve uygulamanın etkin olduğu durumlarda veri toplandığını ifade ediyor.

Haberin tamamı için linke tıklayınız.

2. Veri koruma otoriteleri, GDPR soruşturması kapsamında işbirliği yapıyor.

Avrupa Veri Koruma Kurulu’nun (“EDPB”) desteğiyle Fransa, Litvanya, Hollanda ve Polonya veri koruma otoriteleri, Litvanya menşeli giyim sitesi Vinted.com’un ana şirketi Vinted tarafından gerçekleştirilmiş olabilecek olası bir Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ihlalinin soruşturulması hususunda işbirliği yapıyor. Dikkate değer sayıdaki şikayetin ardından otoriteler tarafından, Vinted’ın veri sahiplerinin haklarıyla ilgili veri depolama faaliyetlerini ve ayrıca kullanıcıların hesaplarının engellenmesiyle ilgili kişisel veri işleme faaliyetlerini araştırmak amacıyla çalışma grubu kuruldu. Ayrıca, şikayetlerin değerlendirilmesi amacıyla bir çalışma dokümanı oluşturuldu.

Haberin tamamı için linke tıklayınız.

3. ICO, tecavüz ve cinsel saldırı davaları kapsamında aşırı düzeydeki veri toplama faaliyetinin durdurulmasını emrediyor.

İngiltere Veri Koruma Otoritesi (“ICO”), ülke kapsamındaki ceza adalet sistemine, tecavüz ve cinsel saldırı mağdurlarıyla ilgili aşırı düzeydeki kişisel veri toplama uygulamalarına son verilmesi çağrısında bulundu. Bir soruşturma, kolluk kuvvetlerinin mağdurların okul kayıtlarını, tıbbi geçmişlerini, sosyal hizmet kayıtlarını ve konuyla ilgisi bulunmayan diğer veri kategorilerini herhangi bir gerekçe olmaksızın topladığını ortaya çıkardı. Konuya ilişkin olarak John Edwards, “Daha fazla mağdurun hak ettikleri adaleti aramasını sağlayacak güveni yeniden inşa etmek için değişim gerekiyor” ifadelerini kullandı.

Haberin tamamı için linke tıklayınız.

4. CNIL, GDPR kapsamındaki veri işleme rolleri hakkında kılavuz yayınladı.

Fransa Veri Koruma Otoritesi Commission Nationale De l’informatique Et Des Libertés (“CNIL”), Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında “veri sorumlusu”, “alt yüklenici”, “ortak veri sorumlusu” kavramlarının tanımlandığı bir kılavuz yayınladı. CNIL, her rolün kişisel verilerle ilgili sorumlulukların niteliğini ve kapsamını etkilediğini ve her bir rolün mümkün olan en kısa sürede tanımlanması gerektiğini belirtti. Bu doğrultuda CNIL, kılavuzun yasal kriterler, dikkate alınması gereken nitelikler ve daha fazlasıyla ilgili ayrıntıları içerdiğini ifade etti.

Haberin tamamı için linke tıklayınız.

5. Meta, Instagram’daki çocuk mahremiyeti ihlalleri sebebiyle İrlanda Veri Koruma Otoritesi tarafından büyük miktarda para cezası verilmesi ihtimaliyle karşı karşıya kaldı.

Irish Times’ın haberine göre; Meta, Instagram platformunda çocukların kişisel verilerinin işlenmesi sırasındaki ihlaller nedeniyle İrlanda Veri Koruma Otoritesi (“DPC”) tarafından büyük miktarda para cezası verilmesi ihtimaliyle karşı karşıya kaldı. Avrupa’da bulunan altı adet veri koruma otoritesi, Instagram’a karşı önerilen cezaları desteklemeyi reddetti. Avrupa Veri Koruma Kurulu (“EDPB”) ise, konuya ilişkin resmi bir başvuru aldığını ve bunu ihtilaf çözüm mekanizmasının tetiklenmesinde ilk adım olarak nitelendirdiğini belirtti. Meta, konuya ilişkin tüm noktalarda DPC ile ilişki kurmaya devam ettiğini ifade ederken, DPC tarafından herhangi bir yorum yapılmadı.

Haberin tamamı için linke tıklayınız.

6. Singapur Kişisel Veri Koruma Otoritesi, verilerin anonimleştirmesi için araç oluşturuyor.

Singapur Kişisel Verileri Koruma Otoritesi, piyasaya ücretsiz olarak bir veri anonimleştirme aracı sundu. Otorite, bu araç ile kuruluşların veri setlerini anonimleştirme tekniklerinde onlara yardımcı olmayı amaçlamaktadır. Ayrıca araç ile birlikte kullanıcılara nasıl kullanılacağı konusunda talimat veren infografik de sunulmaktadır.

Haberin tamamı için linke tıklayınız.

7. Yiyecek ve içecek pazarlamacıları çocuklara yönelik olan reklamları sınırlıyor.

The Wall Street Journal’ın haberine göre, Çocuklara Yönelik Yiyecek ve İçecek Reklam Girişimi’nin 20 üyesi, çocuklara yönelik reklamları mahremiyet de dahil olmak üzere çeşitli kaygılar nedeniyle azaltıyor ya da ortadan kaldırıyor. Tüketiciye yönelik üretim yapan bir şirket olan Unilever, 16 yaşının altındaki çocuklara yönelik olan yiyecek ve içecek pazarlama faaliyetlerini durduracağını belirtti. Ulusal Reklamcılar Derneği CEO’su Bob Liodice, şirketlerin, ebeveynlere çocuklarının izlediği reklamlar üzerinde daha az kontrol sağlayan dijital cihazlara yanıt verdiğini söyledi ve “Çocuklara daha fazla özen gösterilmesi gerektiğini öğrendiler” ifadelerini kullandı.

Haberin tamamı için linke tıklayınız.

8. Tayland Kişisel Verilerin Korunması Yasası yürürlüğe giriyor.

Bangkok Post’un haberine göre; Tayland Kişisel Verileri Koruma Yasası, 1 Haziran’da yürürlüğe giriyor. Tayland Ticaret Kurulu ve Tayland Ticaret Odası Üniversitesi tarafından yaklaşık 4 bin işletmenin katıldığı bir anketin sonucuna göre işletmecilerin %8’inin uyum çalışmaları için harekete geçtiği, %31’inin ise uyum sürecini henüz başlatmadığı gözlemlendi. Total Access Communications’ın geçici Kurumsal İlişkiler Baş Sorumlusu Stephen James Helwig, yasanın yürürlüğe girmesinin Tayland bakımından “gizliliğin korunması ve veri güvenliği için bir kilometre taşı olduğunu” belirtti.

Haberin tamamı için linke tıklayınız.

9. Meksika Ulusal Şeffaflık, Bilgiye Erişim ve Kişisel Verilerin Korunması Enstitüsü yapay zekaya ilişkin önerilerini yayınladı.

Meksika Ulusal Şeffaflık, Bilgiye Erişim ve Kişisel Verilerin Korunması Enstitüsü, yapay zeka kullanımı konusunda “Kişisel Verilerin İşlenmesine İlişkin Öneriler” klavuzunu yayınladı. Yayınlanan kılavuz ile birlikte, yapay zeka kullanımlarında “kişisel verilerin uygun ve etik kullanılması” ve “kişisel verilerin güvenliğinin sağlanması” yükümlülüklerine uygun davranılması teşvik edilmektedir. Kılavuzda; eğitimde yapay zeka, kamu ve özel sektör, bulut bilişim ve tasarımla mahremiyet (privacy by design) gibi konulara değiniliyor.

Haberin tamamı için linke tıklayınız.

10. CNIL, seçmenlerin verilerinin korunmasına yönelik planını özetledi.

Fransa Veri Koruma Otoritesi CNIL, 12 ve 19 Haziran’da yapılması planlanan 2022 yasama organı seçimlerinde uygulanmak üzere kişisel verilerin korunmasına ilişkin eylem planı yayınladı. CNIL, siyasi partilere ve adaylara, kişisel verilerin korunmasına ilişkin kurallar ve ilkeler hakkında bilgilendirici mektuplar gönderirken, seçmenlere de kişisel verilerin korunması hakkına ilişkin bilgi sunmaktadır. CNIL tarafından, her iki tarafa da gönderilen materyallerin çoğunlukla Avrupa Birliği Genel Veri Koruma Tüzüğü’nün siyasi reklam ve iletişimleri düzenleyen hükümleri ile ilgili olduğunu ifade edildi.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

31/05/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Ücretli yüz arama motoru internetteki fotoğrafları buluyor.

New York Times’ın haberine göre; ücretli web sitesi PimEyes üzerinden, kişilerin yüzlerini gösteren bir fotoğrafın yüklenmesi aracılığıyla fotoğrafı yüklenen kişinin internet üzerinde olan ancak günyüzünde olmayan fotoğraflarını bulunabiliyor. Arama sonuçlarında benzer fotoğraflar ile birlikte fotoğrafların bulunduğu yerin bağlantısını da kullanıcılara sunuyor. Times tarafından yapılan bir testte; gazeteciler güneş gözlüğü taksalar, maske taksalar ve hatta kameraya yüzleri dönük olmasalar bile uygulamanın doğru fotoğrafları bulduğu tespit edildi. PimEyes tarafından sağlanan sonuçlar sosyal medya sitelerini içermiyor.

Haberin tamamı için linke tıklayınız.

2. Hindistan vatandaşları resmi belgelerini WhatsApp aracılığıyla alabilecek.

Social Media Today’in haberine göre; Hindistan Elektronik ve Bilgi Teknolojileri Bakanlığı, vatandaşların artık WhatsApp kullanarak resmi belgelere erişebileceğini duyurdu. WhatsApp’ın ana şirketi Meta, Hindistan’daki Whatsapp platformunu dijital dokümantasyon girişimi Digilocker ile entegre etti. Hindistan’da 487 milyondan fazla WhatsApp kullanıcısı var ve bu kullanıcı sayısı Whatsapp’ı Hindistan’daki en popüler mesajlaşma platformu haline getiriyor. Resmi belge paylaşım hizmetini başlatan Meta, Hindistan’da kritik bir yardımcı kuruluş olma yolunda bir adım daha attı. Meta gelecekte halka; fatura ödeme, para alışverişi ve alışveriş gibi yenilikler sunabilir.

Haberin tamamı için linke tıklayınız.

3. Chicago Devlet Okulları önemli bir veri ihlaline konu oldu.

Security Magazine’in haberine göre, Chicago Devlet Okulları’nda gerçekleşen bir veri ihlali ile 500.000 öğrencinin ve 56.000’den fazla çalışanın kişisel bilgileri ifşa edildi. CPS (Çocuk Koruma Hizmetleri – Child Protective Services) tarafından; öğrencilerin ad, doğum tarihi, cinsiyet, sınıf düzeyi, okul – bölge ve eyalet öğrenci kimlik verilerinin ihlal edildiğini belirten bir bildiri yayınladı. Öğrenci bilgileri, sınav sonuçları ve 2015 ve 2019 yılları arasında öğretmenleri değerlendirmek için kullanılan görev bilgileriyle birlikte; çalışanların isimleri, okul çalışanı kimlik numaraları ve CPS e-posta adresi bilgileri de ihlale konu oldu. CPS, verilerin uygunsuz şekilde kullanıldığına veya yayıldığına dair hiçbir belirti olmadığını söyledi.

Haberin tamamı için linke tıklayınız.

4. CNIL, eğitim teknolojileri “sandbox” projelerini destekliyor.

Fransız veri koruma otoritesi (“CNIL”) 2022 “sandbox”una katılması için eğitim alanındaki beş teknolojik projeyi seçti. Eğitsel dijital araçlar teması altında, seçilen projelerin sahibi kuruluşlar “kişisel verilerin korunması nosyonuna uygun” bir hizmet veya ürün geliştirdikleri birkaç ay boyunca CNIL’den destek ve danışmanlık alacaklar. CNIL ayrıca, söz konusu beş projeye veri koruma alanında da zaman zaman destek sağlayacak.

Haberin tamamı için linke tıklayınız.

5. Hollanda Veri Koruma Otoritesi veri ihlallerinin neredeyse 2 katına çıktığını bildirdi.

Yakın tarihli bir bildirime göre Hollanda Veri Koruma Otoritesi, Autoriteit Persoonsgegevens (“AP”), siber saldırılar nedeniyle gerçekleşen veri ihlallerinin 2021 yılında önceki yıla göre neredeyse iki katına çıktığını tespit etti. AP, 2021’de yaklaşık 25.000 veri ihlali bildirimi aldığını ve bunların %9’unun siber saldırılardan kaynaklandığını söyledi – bir önceki yıla göre %5 daha fazla. AP Başkanı Aleid Wolfsen, bilgi teknolojisi tedarikçilerinin giderek daha fazla hedef alındığını belirtti ve “tedarikçilerin birden fazla kuruluştan elde ettikleri çok sayıda kişisel veriye tek başına sahip olduğunu” ekledi.

Haberin tamamı için linke tıklayınız.

6. İtalya Veri Koruma Otoritesi, veri işleme faaliyetleri ihlalleri nedeniyle Uber’e 4.2 milyon Euro tutarında para cezası verdi; Birleşik Krallık Bilgi Komisyonu Ofisi (“ICO”), Clearview AI şirketine yönelik para cezasının miktarını düşürdü.

İtalya Veri Koruma Otoritesi Garante, veri işleme faaliyetlerindeki ihlaller iddiasıyla araç paylaşım platformu Uber’e 4.2 milyon Euro tutarında para cezası uyguladı. Garante, Uber’in kullanıcıların kişisel verilerini izinsiz ve denetleyici otoritelere bildirmeden işleyen bir yan kuruluşunun bulunduğunu tespit etti. Bu ihlalden, dünya çapında yaklaşık 57 milyon kullanıcı etkilendi.

Birleşik Krallık Bilgi Komisyonu Ofisi (“ICO”), küresel veritabanında Birleşik Krallık vatandaşlarının yüz görüntülerinin kullanılması sebebiyle Clearview AI şirketine yönelik 7.55 milyon İngiliz Sterlini (“GBP”) tutarındaki para cezası kararını açıkladı. Para cezasının tutarı, 2021 yılının Kasım ayında verilmiş olan 17 milyon GBP tutarındaki ceza kararına kıyasla indirildi. Kararın konusu ise esas olarak veri kazımaya ve yüz tanıma teknolojisi vasıtasıyla kişilere ait görüntülerin rıza dışı kullanımına ilişkin.

Haberin tamamı için linke tıklayınız.

7. Belçika Veri Koruma Otoritesi, basın grubuna çerez ihlalleri sebebiyle 50.000 Euro tutarında para cezası verdi.

Belçika Veri Koruma Otoritesi, iki ayrı web sitesine ilişkin çerez yönetimi hakkında Roularta basın grubuna 50.000 Euro tutarında para cezası verdi. Otorite, şirketin Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında çerezlerin yerleştirilmesi için gerekli kullanıcı onayı toplama koşullarını karşılamadığını belirtti. Konuya ilişkin olarak Belçika Veri Koruma Otoritesi Dava Dairesi Başkanı Hielke Hijmans, “Çerezler internetin her yerinde bulunduğu için çerezlerin site editörleri tarafından şeffaf bir şekilde ve yürürlükteki mevzuata uygun olarak yerleştirilmeleri çevrimiçi kullanıcılara ait kişisel verilerin korunması için önem arz etmektedir.” ifadelerini kullandı.

Haberin tamamı için linke tıklayınız.

8. ABD Federal Ticaret Komisyonu, aldatıcı nitelikteki veri işleme faaliyetleri sebebiyle Twitter’a 150 milyon dolar tutarında para cezası verdi.

ABD Federal Ticaret Komisyonu (“FTC”), Twitter’a 2011 tarihli emri ihlal ederek hesap güvenlik verilerini hedefli reklamcılık amacıyla kullandığı için 150 milyon dolar tutarında para cezası verdi. FTC, Twitter’ın hesapları korumak için kullanıcı telefon numaralarını ve e-posta adreslerini talep ettiğini ve ardından reklamverenlerin bu verileri kullanmasına izin vererek 140 milyon kullanıcıyı etkilediğini belirtti. Para cezasına ek olarak, Twitter’ın aldatıcı bir şekilde toplanan verilerden kazanç sağlaması yasaklandı. Ayrıca, Twitter’a kullanıcıları verilerin kötüye kullanıldığını bildirmesinin yanı sıra; bir gizlilik ve bilgi güvenliği programı uygulaması ve sürdürmesi talimatı verildi.

Haberin tamamı için linke tıklayınız.

9. Avrupa Komisyonu, veri aktarımlarına ilişkin standart sözleşmeleri (“SCC”) hakkında soru-cevap dokümanı yayınladı.

Avrupa Komisyonu, Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki veri aktarımlarına ilişkin standart sözleşme maddeleri hakkında bir soru-cevap dokümanı yayınladı. Bilindiği üzere; 27 Aralık’ta, uluslararası veri aktarımları için yeni bir SCC seti, mevcut SCC’lerin yerini alacak. Komisyon, yayınlamış olduğu soru-cevap dokümanının SCC’lerin kullanımına ilişkin pratik rehberlik sunduğunu ve paydaşlara uyum çabalarında yardımcı olduğunu belirterek; belgenin dinamik bir bilgi kaynağı olmasının amaçlandığını ve yeni sorular ortaya çıktıkça güncelleneceğini ifade etti.

Haberin tamamı için linke tıklayınız.

10. İrlanda Veri Koruma Otoritesi, çocukların verilerinin korunması hakkında ve Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki haklara ilişkin kılavuz yayınladı.

İrlanda Veri Koruma Otoritesi, Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) kapsamında çocukların verilerinin korunması ve çocukların haklarına ilişkin açıklamaları içeren üç adet kılavuz yayınladı. Kılavuzlar, birçok sosyal medya platformuna kayıt olabilmek için gereken minimum yaş olması gerekçesiyle 13 yaş ve üstü çocuklara yönelik olarak hazırlandı. Kılavuzların konu başlıkları arasında ise esas olarak çocukları veri kavramıyla kavramıyla tanıştırmak amacı dahilinde veri koruma, çocukların GDPR kapsamındaki hakları ve çocukların verilerini güvende tutmak için 15 ipucu yer alıyor.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

24/05/2022

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Berlin Veri Koruma Otoritesi, uluslararası veri aktarımı kılavuzu sunuyor.

Berlin Veri Koruma Otoritesi, Avrupa Birliği Adalet Divanı’nın “Schrems II” kararına göre uluslararası veri aktarımları hakkında kılavuz yayınladı. Berlin Veri Koruma Otoritesi, Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında aktarım gerekliliklerini ana hatlarıyla belirtirken, küresel aktarımlarla ilgili mevcut yasal ortamı açıkladı. Özellikle ABD’ye yapılan aktarımlara ve aktarımlar için gereken yasal temellerin eksikliği üzerine yoğunlaştı. Ek olarak, kılavuzda, Avrupa Birliği Adalet Divanı kararının ardından Berlin Veri Koruma Otoritesi’nin gerçekleştirdiği veri aktarımına ilişkin denetimler de detaylandırılmıştır.

Haberin tamamı için linke tıklayınız.

2. CNIL, çerez duvarı değerlendirme şemasını yayınladı.

Fransa Veri Koruma Otoritesi (“CNIL”), üçüncü taraf çerez duvarlarının yasal kullanımına dair değerlendirme kriterlerini yayınladı. Kriterler, bilgilendirilmiş rızaya dayalı dört unsuru içermektedir: İçeriğe alternatif erişim, bu erişimin fiyatı, çerez yerleştirilmeksizin ücretli erişim ve olası gömülü izinlerin geçersiz kılınması. CNIL, kriterlerin “en yaygın olarak gözlemlenen uygulamalara” dayandığını ve kriterlerin “duruma göre analizin bir parçası olarak” uygulanacağını belirtti.

Haberin tamamı için linke tıklayınız.

3. Hollanda Veri Koruma Otoritesi, Dışişleri Bakanlığı’na GDPR ihlalleri nedeniyle 565 bin euro para cezası verdi.

Hollanda Veri Koruma Otoritesi (“Otorite”); Avrupa Birliği Genel Veri Koruma Tüzüğü’nü (“GDPR”) ihlal ederek, son üç yılda kişisel veri güvenliğini yeterli düzeyde sağlamadan yılda yaklaşık 530 bin vize başvurusunu işleme koyduğu gerekçesiyle Dışişleri Bakanlığı’na 565 bin euro para cezası verdi. Otorite, yetkisiz üçüncü kişilerin Bakanlığın Ulusal Vize Bilgi Sistemi’ndeki dosyalara ulaşım sağlanabileceğine ve bunların değiştirebileceğine dair riskleri açıkladı. Ayrıca, Otorite, kişisel verilerin üçüncü taraflarla paylaşılması konusunda Bakanlığın vize başvuru sahibi ilgili kişileri yeterince bilgilendirmediğini de ortaya koydu.

Haberin tamamı için linke tıklayınız.

4. Hong Kong, kişilere zarar vermek amacıyla kişisel verilerin internette fazlaca yayınlanması sebebiyle Telegram’ı engellemeyi düşünüyor.

Bloomberg’in haberine göre, Hong Kong Veri Koruma Otoritesi, mesajlaşma hizmeti Telegram’a erişimi sınırlandırmayı değerlendiriyor. Potansiyel kısıtlama kararı, hükümet yetkililerine ve vatandaşlara zarar vermek amacıyla internette kişisel veriler hakkında yaygın bilgi verildiğinin tespitinden sonra geldi. Erişim kısıtlanırsa, 2020’de ulusal güvenlik mevzuatının yürürlüğe girmesinden sonra, Çin hükümetinin Hong Kong’daki sivil özgürlükleri daha da aşındıracağı korkusu geri gelebilir.

Haberin tamamı için linke tıklayınız.

5. Apple, yeni reklam kampanyasında gizlilik özelliklerini ön plana çıkarıyor.

TechCrunch’ın haberine göre Apple, tüketicileri gizlilik riskleri konusunda bilgilendirmek amacıyla yeni bir reklam kampanyası başlattı. 90 saniyelik reklamda, veri brokerliği/komisyonculuğu sektörünün mobil kullanıcıların tarama geçmişi, konum verileri ve rehberde yer alan kişilere ait bilgiler gibi kişisel verilerin nasıl sattığını vurguladı. Kampanya ayrıca, Apple’ın veri brokerlerine karşı önlem olarak geliştirdiği Posta Gizliliği Koruması ve Uygulama İzleme Şeffaflığı gibi araçları da içerecek. Reklamda, “Ellie” adlı bir mobil kullanıcı, alışveriş yaparken kendi verilerinin satıldığı gizli bir açık artırmaya rastlamaktadır.

Haberin tamamı için linke tıklayınız.

6. İtalya Veri Koruma Otoritesi, veri ihlalleri nedeniyle Uber’e 4,2 milyon euro para cezası verdi.

İtalya Veri Koruma Otoritesi Garante, veri işleme ihlalleri gerekçesiyle araç paylaşım platformu Uber’e 4,2 milyon euro tutarında para cezası verdi. Garante, kullanıcıların kişisel verilerini izinsiz ve denetleyici kurumlara bildirmeden işleyen Uber’in bir yan kuruluşunu tespit ettiğini açıkladı. İhlalden dünya çapında yaklaşık 57 milyon kullanıcı etkilendi. Garante, kişisel verilerin iletişim bilgilerini, Uber hesap verilerini, konumu ve diğer kullanıcılarla ilişkileri içerdiğini belirtti. Garante ayrıca Uber’in Hollanda ve Amerika Birleşik Devletleri merkezli şirketlerinin, İtalyan kullanıcılar bakımından kişisel veri koruma yasasını ihlal ettiğini de ekledi.

Haberin tamamı için linke tıklayınız.

7. EDPS, BM siber suç girişimi hakkında görüş bildirdi.

Avrupa Veri Koruma Denetçisi Wojciech Wiewiórowski, Birleşmiş Milletler’in önerdiği Bilgi ve İletişim Teknolojilerinin Suç Amaçlı Kullanımına Karşı Mücadeleye İlişkin Kapsamlı Uluslararası Sözleşmesi ile bağlantılı veri koruma değerlendirmeleri hakkında görüş sundu. Bu görüş, bireylerin veri koruma ve mahremiyet haklarını daha fazla güvence altına almak için dört adet tavsiye sunarken, aynı zamanda Avrupa Birliği üyesi olmayan ülkelere gerçekleştirilen veri aktarımları hususunda da eşdeğer güvenlik önlemlerine ihtiyaç duyulduğunu yeniden teyit ediyor. Konuya ilişkin olarak Wiewiórowski, bireylerin kişisel verilerinin korunma düzeyinin Avrupa Birliği üyesi olmayan bir ülkede zayıflatılmasının önüne geçmek amacıyla güçlü önlemler alınması gerektiğini vurguladı.

Haberin tamamı için linke tıklayınız.

8. Toplu dava Snapchat’in “BIPA”yı ihlal ettiğini iddia ediyor.

MediaPost’un haberine göre; Snapchat aleyhine açılan toplu dava kapsamında Illinois eyaletinde yerleşik iki şirketin Lenses uygulamasının İllinois Biyometrik Bilgi Mahremiyet Yasası’nı (“BIPA”) ihlal ettiğini iddia ediyor. Davaya konu şikayet; fotoğraflara efektler ekleyebilen bu uygulamanın, BIPA kapsamında şirketlere getirilen yüz taramaları da dahil olmak üzere belirli biyometrik verileri işlemeden önce yazılı izin alma yükümlülüğüne uymaksızın, kullanıcılarının yüzlerini taradığını ileri sürüyor.

Haberin tamamı için linke tıklayınız.

9. Tıbbi tedarik şirketi, 2019’da gerçekleşen veri ihlaline ilişkin olarak 9,76 milyon dolar tutarında bir anlaşmaya vardı.

HIPAA Journal’ın haberine göre; yaklaşık 114 bin kişiyi etkileyen ve 2019 yılında gerçekleşen veri ihlaliyle ilgili olarak Solara Medical Supplies’ın 9,76 milyon dolar tutarındaki çözüm önerisi mahkemeden ön onay aldı. 2019 yılının Nisan ve Haziran ayları arasında, yetkisiz üçüncü kişiler, diyabet tıbbi ürün ve tedarik şirketine ait hassas nitelikteki çalışan ve hasta bilgilerini içeren çalışan e-posta hesaplarına erişim sağlamıştı. Anlaşmaya göre, geçerli olarak talepte bulunan kişiler 100 dolar tutarında nakit ödeme almaya hak kazanacak.

Haberin tamamı için linke tıklayınız.

10. JOIC, 2021 veri ihlali raporunu yayınladı.

BBC News’in haberine göre; Jersey Bilgi Komisyonu Ofisi (“JOIC”), 2021 yılı için “Veri İhlali Raporu”nu kamuoyuyla paylaştı. JOIC; geçen yıl içerisinde 26 adeti kamu kurumları ile ve 14 adeti mali kuruluşlar ile bağlantılı olmak üzere 90 adet şikayet raporlarken, doğrudan veri ihlali yapan kuruluşlar tarafından bildirim yapılan vakalarla ilgili olarak ise 200 adet soruşturma gerçekleştirdiğini raporladı. JOIC, şikayetlerin büyük bir çoğunluğunun hukuka aykırı veri paylaşımından kaynaklandığını belirtti.

Haberin tamamı için linke tıklayınız.

Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

17/05/2022

iPhone kullanıcıları “hayalet” AirTag uyarı bildirimleri alıyor.