KİŞİSEL VERİLERİN KORUNMASI HAKKINDA AYLIK BÜLTEN – ŞUBAT 2022

2022 yılının Şubat ayı kişisel verilerin korunması mevzuatı (“KVKK”) açısından oldukça yoğun geçmiştir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Şubat ayı içerisinde birçok karar ve bildiri yayınlanmış olup bu karar ve bildirilerin yanında, uluslararası alanda dikkat çeken hususlar bu çalışmamızda kısaca açıklanmıştır. 

YEMEKSEPETİ KARARI

Kurum, 7 Şubat 2022 tarihinde Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik Anonim Şirketi (“Yemek Sepeti”) tarafından gelen veri ihlal bildirimleri sonucunda şirkete idari para cezası kesildiğini duyurdu. 

Yemek Sepeti, Kurum’a bildirdiği ihlalde; kimliği tespit edilemeyen şahıslar tarafından 18.03.2021 tarihinde Yemek Sepeti ’ne ait web uygulama sunucusuna erişildiği, saldırganların sunucu üzerindeki veriyi Fransa’da bulunan bir IP adresine ilettiği, söz konusu saldırının 25.03.2021 tarihinde gelen uyarı üzerine Yemek Sepeti tarafından tespit edilebildiği belirtilmiştir. İhlalden 21.504.083 Yemek Sepeti kullanıcısının etkilenmesi ise ayrıca ihlal bildiriminde bulunulan dikkat çekici detaylardan biridir. 

Bu ihlal üzerine Kurum yaptığı incelemede; neredeyse tüm müşteri veri tabanını kapsayacak ölçüde verinin dışarı sızdırılmasının çok büyük çaplı bir ihlal olduğunu, sızdırılan verinin büyüklüğü ve kişisel verilerin niteliği dikkate alındığında da ilgili kişiler açısından kişisel verileri üzerinde kontrol kaybı gibi önemli risklerin oluşabileceğini belirtmiştir. Neredeyse tüm kullanıcı verilerinin dışarı sızdırılmasının 8 (sekiz) gün boyunca fark edilememesi, veri sorumlusu tarafından güvenlik kontrolleri ve veri güvenliği takibinin düzgün bir şekilde yapılmadığının göstergesi olarak değerlendirilmiş olup, bu tedbirsizlik sebebi ile veri sızıntısının tam olarak hangi çapta olduğu tespit edilemeyeceğinden dolayı veri sorumlusunun kusurlu bulunduğu açıklanmıştır.

Zira Yemek Sepeti gibi uluslararası piyasada olan bir şirket bünyesinde bu derece yoğun bir kişisel veri ihlalinin yaşanması ve müdahalede geç kalınması, veri sorumlusunun mevcut risk ve tehditleri iyi belirleyemediğini göstermektedir. 

Kurum, bu kapsamda 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 12. maddesi çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında, Kanun’un 18. maddesi uyarınca ihlalin boyutunu, veri sorumlusunun kusurunu ve ekonomik durumunu göz önünde bulundurarak 1.900.000,00 TL idari para cezası uygulanmasına karar vermiştir.

Yukarıda belirtildiği üzere; veri sorumlusunun kişisel verilerin korunmasına ilişkin gerekli hukuki, teknik ve idari yükümlülüklerini yerine getirmesinin iktisadi ve tüketici güveni açısından oldukça önemli olduğu Yemek Sepeti’nin karşılaştığı idari para cezası ile açıkça ortaya konulmuştur. 

ANAYASA MAHKEMESİ’NİN WHATSAPP KARARI

11.02.2022 tarihinde, T.C. Anayasa Mahkemesi’nin (“AYM”) 28.01.2021 tarihli ve 2018/34548 başvuru numaralı kararı (“Karar”) Resmî Gazete’de yayınlanmış olup, anılan Karar, özel hayata saygı, haberleşme özgürlüğü ve iş hukuku yanında kişisel verilerin korunmasına ilişkin de oldukça önemli bir karardır. 

Karar’a konu uyuşmazlık, başvurucunun  (“İşçi”) iş arkadaşları ile Whatsapp sohbet grubundan hakaret içerir konuşmalar yapması ve söz konusu mesajlaşmaları işyerinde bulunan amirinin okuması üzerine iş akdinin feshedilmesi neticesinde ortaya çıkmıştır. İşçi AYM’ye başvurusunda; söz konusu whatsapp konuşmalarının 3. kişilere kapalı olduğunu, amiri tarafından mesajlarının okunmasının ve hukuka aykırı delil teşkil eden mesajlar neden gösterilerek iş akdinin feshedilmesinin, anayasal haklarına saldırı olduğunu iddia etmiştir.

AYM yaptığı incelemede, iş sözleşmelerinde kısıtlayıcı ve zorlayıcı düzenlemelerin ne şekilde belirlendiği, tarafların bu düzenlemeler hakkında bilgilendirilip bilgilendirilmediği, çalışanların temel haklarına yönelik müdahalede bulunulmasına neden olan meşru amacın müdahale ile ölçülü olup olmadığı, sözleşme feshinde çalışanın eylemi karşısında makul ve orantılı bir işlem olup olmadığı hususlarının incelenmesinin gerektiği vurgulanmıştır.

Bu kapsamda, kural olarak işveren tarafından işlerin etkin şekilde yürütülmesi, bilgi akışının kontrolünün sağlanması, işçinin eylemlerine bağlı hukuki ve cezai sorumluluğa karşı korunması, verimlilik ve performansın ölçülmesi, güvenlik endişeleri gibi haklı nedenlerle işçinin kullanımına sunulan iletişim araçları denetlenebilir ve kullanımına ilişkin sınırlamalar getirilebilir. Ancak tüm bu müdahalelerin, işverenin yönetim hakkı kapsamında işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanması ile sınırlı olduğu unutulmamalıdır. Bu kapsamda, işyerinde kullanıma sunulan iletişim araçlarının işverene ait olduğu gözetilerek sırf bu nedenle işverenin sınırsız ve mutlak bir kontrol ve denetim yetkisi bulunmamaktadır.

AYM değerlendirmesinde; özel hayatın gizliliği ile kişisel verilerin korunmasını ele almış, işverenin ve kamu gücünün, bu hak üzerindeki koruma ve sınırlama yetkisini belli bir çerçeve içerisinde kullanması gerektiğini belirtmiştir. İşverenin, işyerinde yönetim yetkisinin düzenleme ve güvenliğin sağlanması ile sınırlı olduğunu, başvuruya konu olayda işyerinde bulunan bilgisayarda yapılmış konuşmalar olsa da işverenin bu konuşmalara müdahale etmesinin demokratik toplum ve kişinin sahip olduğu temel haklar ile bağdaşmadığını, bu sebeple işverenin yetkisini aşarak işçinin bilgisayarının açık bırakılması sonucunda, sorumlu amiri tarafından bilgisayarındaki sohbetlerin okunması üzerine iş akdini feshetmesinin, özel hayatın gizliliği ve haberleşme özgürlüğü maddeleri gereği açık bir şekilde Anayasa’ya aykırılık oluşturduğunu vurgulamıştır. Kaldı ki anılan mesajlaşma programının işyerinin işleyişiyle bir ilgisinin bulunmadığı ve özel mesajlaşmalar içerdiği anılan kararda vurgulanmıştır.

Somut durumda ayrıca, işverenin işyeri bilgisayarını inceleme yetkisi ile kapsamını gösteren bir bildirimin başvurucuya yapıldığına ilişkin bilgi ve belgenin de sunulmadığı belirtilerek, işveren tarafından işyerinde kullanıma tahsis edilen bilgisayar üzerinden yapılan iletişimin izlenebileceği ve denetlenebileceği yönünde açık bir bilgilendirmesinin yapılmadığı vurgulanmıştır. 

Bu anlamda, kişisel verilerin korunmasının temelinde kişinin özel hayat gizliliğinin olması ve bahse konu olayda söz konusu verilerin, şahsın açık rızası dışında 3. kişilerce öğrenilmesi veya aktarılarak iş akdinin feshedilmesinin Kişisel Verileri Koruma Kanunu’na da açıkça aykırılık teşkil ettiği yadsınamaz bir gerçektir. 

Bu karar ışığında; işverenin tahsis ettiği iletişim araçlarının sınırsız bir şekilde denetlenemeyeceği, öncelikle bu denetime ilişkin bilgilendirme ve aydınlatmanın Anayasa md. 20/f.3 ile 6698 sayılı Kişisel Verilerin Korunması Kanunu md. 10 çerçevesinde yapılmasının gerektiği, tüm bu bilgilendirmenin mevzuata uyumlu bir şekilde yapılması halinde dahi gerekli denetim ve gözetim hakkının işverenin yönetim hakkı kapsamında işin yürütülmesi, işyerinin düzeninin ve güvenliğinin sağlanması ile sınırlı olduğunun unutulmaması gerektiği kanaatindeyiz.

KULLANICI GÜVENLİĞİNE İLİŞKİN DUYURU

Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu (“Duyuru”) 15 Şubat 2022 tarihinde Kurum’un sitesinde yayınlanmıştır.

Kurum’a gelen ihlal bildirimleri sonucu yapılan incelemelerde; e-ticaret, finans, sosyal medya ve bunun gibi sektörlerin internet sitelerinde kullanılan kullanıcı hesap bilgilerinin bazı internet sitelerinde açıkça yayınlandığı tespit edilmiştir. Kanun’un 12. maddesince; veri sorumlusu kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla güvenlik için gerekli tedbiri almakla yükümlüdür. Bu sebeple; Kurum, veri sorumlularının faaliyetlerine ilişkin kullanıcı güvenliğinin sağlanması adına alınması gerekilen önlem tavsiyelerinin bulunduğu Duyuru’yu yayınlamıştır. Yayınlanan tavsiyeler aşağıdaki gibidir;

  • “Çift kademeli kimlik doğrulama sistemlerini kurmaları ve üyelik başlangıcından itibaren alternatif güvenlik önlemi olarak sunmaları,
  • Kullanıcıların hesaplarına sık erişim sağladıkları cihazlar haricinde farklı cihazlar üzerinden giriş yapılması durumunda, giriş bilgilerinin e-posta/sms vb. yöntemlerle ilgili kişilerin adreslerine iletilmesinin sağlanması,
  • IP adresinden yapılacak başarısız giriş deneme sayısının sınırlandırılması,
  • Yeni oluşturulan parolaların, eski parolalarla “en az son üç parolayla” aynı olmasının engellenmesi, kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin kullanılması, erişime izin verilen IP adreslerinin sınırlandırılması,
  •  Aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
  • Veri sorumluları tarafından parola politikasının oluşturulması ve kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması,
  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması,
  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması.”

Bu maddeler Kurum tarafından tavsiye olarak duyurulmuş olsa da Kanun’un öngördüğü yükümlülüklere ilişkin olmaları sebebi ile veri sorumluları tarafından gerekli hukuki, idari ve teknik tedbirin alınması oldukça büyük önem arz etmektedir.

İTÜ ETA VAKFI DOĞA KOLEJİ İHLAL BİLDİRİMİ

17 Şubat 2022 tarihinde Kurum sitesinde birçok veri ihlali bildirimi yayınlanmıştır. Anılan ihlallerden biri, veri sorumlusu Arı İnovasyon ve Bilişim Eğitim Hizmetleri Anonim Şirketi (“Şirket”) tarafından yapılan İTÜ ETA Vakfı Doğa Koleji’ne ilişkin bildiridir. 

Bildirimin içeriği şu şekildedir; yetkili bir kullanıcının e-posta hesap ve şifresinin ele geçirilmesi üzerine, şirket platformunda bulunan verilere erişildiği ve bu verilerin sızdırıldığı, söz konusu verilerin öğrenciler, çalışanlar ve velilere ilişkin; kişi bilgileri, T.C. kimlik numaraları, çalışanların bulunduğu birimleri, verilen maaşları, velilerin meslekleri ve kayıt zamanında ödedikleri tutarlara ilişkin bilgileri içerdiği aktarılmış olup ihlalden etkilenen 79 bin kişinin, şirketin kişisel verilere ilişkin e-posta adresine başvurması üzerine gerekli bilgilendirmenin yapılacağı açıklanmıştır. 

MARTI VERİ İHLALİ BİLDİRİMİ

27 Şubat 2022 tarihinde Kurum’a iletilen bir diğer bildirim, son zamanlarda kamuoyunda dikkat çeken girişimin sahibi Martı İleri Teknoloji Anonim Şirketi (“Martı”) tarafından yapılmıştır. Kurum tarafından yayınlanan bildirimin içeriğine göre kimliği belirsiz şahıslar tarafından veri sorumlusu sistemine erişilmiş olup erişen şahıslar tarafından iletilen e-posta üzerine veri ihlali fark edilmiştir. İhlalden etkilenen kişilerin sayısı ve bu verilerin kategorileri henüz tespit edilememiş olsa da İhlal kaynağı ve gerçekleşme yöntemine ilişkin araştırmaların devam ettiği belirtilmiştir.

ACIBADEM ÜNİVERSİTESİ İHLAL BİLDİRİMİ

Kurum’a yapılan bir diğer veri ihlali bildirimi ise T.C. Acıbadem Mehmet Ali Aydınlar Üniversitesi (“Üniversite”) tarafından yapılmıştır.

Üniversite yaptığı bildirimde; uğranılan saldırının fidye yazılımına ilişkin olmasından dolayı sunuculara kesintili olarak erişim sağlanabildiğini, saldırının 09.02.2022 tarihinde gerçekleştiğini ve aynı gün içerisinde tespit edilerek gerekli çalışmaların devam ettiğini belirtmiştir. Burada açıklamak gerekir ki; fidye yazılımlar, virüslerin bulaştığı bilişim sistemlerindeki dosyalara erişimi engelleyerek kullanıcılardan fidye talep eden zararlı yazılımlardır.

Yayınlanan bildiride söz konusu saldırıdan kullanıcılarının etkilendiğini, ancak saldırıya maruz kalan kişisel verilerin kategorisinin tam olarak halen tespit edilemediği ilgililere aktarılmıştır. 

ŞİŞLİ BELEDİYE BAŞKANLIĞI İHLAL BİLDİRİMİ

T.C. Şişli Belediye Başkanlığı’nın (“Belediye”) veri ihlal bildirimi 17 Şubat 2022 tarihinde yayınlanmıştır. 

Belediye tarafından yapılan bildirimde; sisteme fidye yazılımı ile gerçekleştirilen bir siber saldırı olduğu, anılan siber saldırının 12.02.2022 tarihinde gerçekleştiği ve saldırı sonucu çalışanlar, kullanıcılar ve üyelere ilişkin dosya ve klasörlerin şifrelendiği belirtilmiştir. Saldırıdan etkilenen kişi sayısı ve kişisel verilere ilişkin kategorilerin henüz tespit edilmediği, ancak gerekli tedbirlerin alındığı ve uzman incelemelerinin devam ettiği ilgililere aktarılmıştır. 

KENTYOL İHLAL BİLDİRİMİ

Kentyol Kent Hizmetleri Anonim Şirketi (“Kentyol”) tarafından yapılan veri ihlali bildiriminde; fidye yazılım ile siber saldırı gerçekleştirilerek çalışanlar, kullanıcılar ve müşterilere ait dosya ve klasörlerin şifrelendiği, yaklaşık 2100 kişinin bu siber saldırıdan etkilendiği, ancak kişisel verilerin kategorisine ilişkin henüz tam tespit yapılamadığını, uzman incelemelerinin devam ettiği bildirilmiştir. Yapılacak incelemeler sonlandığı zaman etkilenen ilgili kişilere bilgilendirme yapılacağı açıklanmıştır. 

  • Şubat ayında Kurum’a gelen veri ihlal bildirimlerine bakıldığında, fidye yazılımlar üzerinden yapılan birçok siber saldırı olduğu görülmektedir. Fidye yazılım ile veri sorumlularına yöneltilen siber saldırıların asıl amacının; kişinin şahıs bilgileri, internet geçmişi, alışveriş etkinliği gibi ekonomik karşılığı olan detaylarına erişilerek, ticaret piyasasında bu bilgilere ulaşmak isteyen şahıs veya şahıslara satılması ile kişisel verilerin bir ticari unsur haline getirilmesi olduğu kanaatindeyiz.

YKS KARARI

16 Şubat 2022 tarihinde Kurum’un internet sitesinde 06/01/2022 tarihli, 2022/13 sayılı Karar (“Karar”) yayınlanmıştır. Karar’a ilişkin şikâyet, şahsın Yükseköğretim Kurumları Sınavı (“YKS”) sınav sonuç belgesinin bir yerel haber sitesinde açık rızası alınmaksızın paylaşılması ve kişisel verilerinin hukuka aykırı olarak işlenmesine ilişkindir.

Kurum, Kanun’un “Kişisel verilerin işlenme şartları” başlıklı 5. maddesi ışığında yaptığı değerlendirmede, internet sitesinde yer alan haberin ilgili kişinin adı, soyadı, fotoğrafının yanında kişinin bilgisini, zekasını ve yeterliliğini yansıtmasından dolayı kişisel veri niteliğine haiz saydığı sınav sonucu belgesinin de işlendiğine değinmiştir. Kurum, sınav sonuç belgesi hakkında bulunduğu açıklama ile kişisel veri kavramının somut olaya göre nasıl değerlendirilmesi gerektiği konusunda örnek bir karar oluşturmuştur. 

Yapılan değerlendirmede dikkat edilmesi gerekilen bir diğer konu ise, veri sorumlusunun anayasal hakları olan basın özgürlüğü ve ifade özgürlüğü karşısında ilgili kişinin kişisel verilerin korunmasını isteme hakkının olmasıdır. Kurum tarafından somut olayın, kamu yararı ölçütünü temel alan bir inceleme ile değerlendirilmesi gerektiği belirtilmiştir. Bu ölçüt kapsamında veri sorumlusunun, şahsa ilişkin sınav sonuç belgesi verilerini işlemesinde kamu yararının tespit edilememesi sebebi ile istisnai hükümler kapsamına girerek Kanun’un 12. maddesinde öngörülen sorumluluktan kurtulamayacağı belirtilmiş ve yerel haber sitesine idari para cezası verilmesine karar verilmiştir. 

VERİ KORUMA GÖREVLİLERİNİN KATILIM BELGESİNE İLİŞKİN DÜZENLEME

Kurum tarafından daha önceki tarihlerde, Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) yayınlanarak veri koruma görevlisi kavramına ilişkin düzenleme yapılmıştır. Tebliğ’in 5. maddesinde katılım belgesine dair usul ve esasların daha sonra Kurul tarafından belirlenerek ilan edileceği öngörülmüştür. Kurum, 11 Şubat 2022 tarihinde yayınladığı Katılım Belgesinin Verilmesine Dair Usul ve Esaslar (“Karar”) ile veri görevlisinin alması gereken katılım belgesine ilişkin usul ve esasları düzenlemiştir. 

Bu Karar’a göre, kişisel verilerin korunması mevzuatı alanında gerekli bilginin kazanılması amacı ile katılımcılara bir temel eğitim programı uygulanacaktır. Bu eğitimin temeli, Kurum tarafından belirlenen ve Karar ile yayınlanan teorik yöntemler doğrultusunda oluşturulacaktır. Temel eğitimi tamamlayan katılımcıların bilgi düzeylerinin ölçülmesi adına eğitim sonunda bir sınav gerçekleştirilecektir. Katılımcıların eğitim sonu sınavı için 3 (üç) hakkı bulunurken söz konusu sınavda başarılı olmak için en az 70 puan ve üstü alınması gerekmektedir. 

Bu temel eğitim ve sınav sonunda başarılı olan katılımcılara Kurum tarafından onaylı katılım belgesi düzenlenecek olup bu belge ile katılımcı “Veri Koruma Görevlisi” sıfatına haiz olacaktır.

SGK YÖNETMELİĞİ

19 Şubat 2022 tarihli ve 31755 sayılı Resmî Gazete’de Sosyal Güvenlik Kurumu (“SGK”) Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) yayınlanmıştır. 

Yönetmelik; Kurum personelini, kişisel verileri işlenen gerçek kişileri, kişisel verilerin işlenmesine ait bilgi işlem sistemleri gibi hizmetleri sunan gerçek ve tüzel kişileri, Kurum’un faaliyetleri kapsamında kişisel verileri işleyen kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişileri, kurum adına kişisel verileri işleyen gerçek veya tüzel kişileri ve veri aktarımının yapıldığı kamu kurum ve kuruluşları ile özel hukuk gerçek ve tüzel kişilerini kapsamaktadır. 

Yönetmelik kapsamına giren kişiler tarafından kişisel verilerin, kişisel sağlık verilerinin ve ticari sır niteliğindeki verilerin işlenmesi, 5502 sayılı Sosyal Güvenlik Kurumu Kanunu’na ve Kişisel Verilerin Korunması mevzuatına uygun şekilde, sır saklama yükümlülüğü altında yerine getirilmesi gerekmektedir. Ancak Yönetmelik’te veri aktarımına ilişkin 5502 sayılı Kanunun 35. maddesi saklı tutulmuştur. 

Yönetmelik, verilerin işlenmesi ve veri güvenliğinin sağlanmasında veri sorumlusu ve veri işleyenlerin müştereken sorumlu olduğunu belirtmiştir. Bu düzenlemeye göre veri sorumlusu, verilerin hukuka aykırı olarak işlenmesini, erişilmesini önlemek ve verilerin saklanması için gerekli güvenlik düzeyini temin etmek adına her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu ayrıca kanuna aykırı veri işlendiğini tespit ettiği andan itibaren en geç 72 saat içerisinde durumu Kurum’a bildirmekle yükümlüdür. 

SGK ile sözleşmeli olarak çalışan sağlık hizmeti sağlayıcılarının veri işlemesinde sadece SGK veri kayıt sisteminin kullanılacağı belirtilmiş olup sistem dışında başka bir alana kopyalanması, saklanması veya aktarılması yasaklanmıştır. 

Bu Yönetmelik ile, SGK kurum ve kuruluşlarının veri işleme faaliyetlerini yerine getirirken mevzuatta öngörülen usul ve esaslar doğrultusunda hareket etmesi ve SGK kapsamında işlenen her türlü bilgininin KVKK kapsamında korunması amaçlanmıştır.

ULUSLARARASI GELİŞMELER

  1. Birleşik Krallık Bilgi Komisyonu Ofisi (“ICO”), kişisel verilerin toplanması ve işlenmesini sağlayan video kayıt sistemlerini kullanan şahıslar için bir Kılavuz yayınlamıştır. Bu Kılavuz ile şahıslar, Birleşik Krallık Genel Veri Koruma Yönetmeliğinin (“UK GDPR”) ve 2018 Veri Koruma Yasasının (“DPA”) hükümleri doğrultusunda video kayıt faaliyetlerini devam ettirecektir. Şahıslar, kılavuzda bulunan maddeleri faaliyetlerine uygulayarak kişisel verilerin korunmasına ilişkin kanunlarda öngörülen standartlara uymuş olacak ve bu sayede kişisel verileri işlenen şahıs veya şahısların hak ve özgürlükleri korunmuş olacaktır.

Kılavuz linkine buradan ulaşabilirsiniz: https://ico.org.uk/your-data-matters/domestic-cctv-systems-guidance-for-people-using-cctv/ 

Meta (eski adı ile “Facebook”), Rusya ve Ukrayna ülkeleri arasında devam eden çatışmalar üzerine Ukrayna’dan gelen gönderilerin takip edilmesi amacıyla Özel Operasyon Merkezi (“Merkez”) kurmuştur. Meta’nın açıklamasına göre, Merkez’in amacı şahısların Facebook uygulamasında bulunan kişisel verilerinin sistemin sağladığı ek gizlilik yöntemi ile Rusya’dan gelebilecek siber saldırılara karşı korunmasıdır. 

SONUÇ

Yukarıda açıklanan kararlara ve bildirilere bakıldığında, Şubat 2020 döneminde kişisel verilerin korunmasına ilişkin oldukça yoğun bir dönem yaşanmıştır. Yaşanan bu yoğunluğun sebebinin, veri sorumluları tarafından günümüzde hala kişisel verileri koruma mevzuatına ilişkin gereken hukuki, idari ve teknik tedbirlerin alınmamasından kaynaklandığı kanaatindeyiz. Uluslararası ve iç hukukta kişisel verilerin korunmasına ilişkin yapılan düzenlemeler, gün geçtikçe mevzuatın uygulanmasını ve uyumu sağlamlaştırırken, veri sorumlularının anılan mevzuat doğrultusunda faaliyetlerini gerçekleştirmesi, kendilerinin hukuki ve cezai sorumlulukları ile ilgililerin özel hayat ve kişilik haklarının korunması açısından oldukça büyük önem arz etmektedir.

 

*Yasal Uyarı*

İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.

Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.

Yorum bırakın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir