2023 yılının Ekim ve Kasım ayları kişisel verilerin korunması mevzuatı (“KVKK”) açısından oldukça yoğun geçmiştir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından birçok karar ve bildiri yayınlanmış olup bu karar ve bildirilerin yanında uluslararası alanda da dikkat çeken gelişmeler olmuştur. Bunlardan en önemlisi Avrupa Komisyonu tarafından yayımlanan 2023 Genişleme Paketi kapsamında Türkiye Raporu’dur. İlgili kararlar, raporlar, duyurular ve haberler aşağıda kısaca dikkatlerinize sunulmuştur.
- TOKAT GAZİOSMANPAŞA ÜNİVERSİTESİ VERİ İHLALİ BİLDİRİMİ
Kurumun sitesinde yayınlanan Tokat Gaziosmanpaşa Üniversitesi veri ihlal bildiriminden özetle; Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından yürütülen tehdit istihbaratı faaliyetleri kapsamında Reşadiye Meslek Yüksekokulu’na ait olduğu değerlendirilen öğrenci bilgilerinin saldırganlar tarafından internette çeşitli forum sitelerinde satıldığı/satılmaya çalışıldığı, yurtdışı IP adreslerinden veri sorumlusu sistemlerine yetkili kullanıcı olarak giriş yapıldığının tespit edildiği ve etkilenen ilgili kişi sayısının tahmini olarak 741 olduğu belirtilmiş olup ilgili kişilere gerekli bildirim yapılmıştır.
- JOHNSON CONTROLS KLİMA VE SERVİS SOĞUTMA SAN. VE TİC. LTD. ŞTİ. VERİ İHLALİ BİLDİRİMİ
Veri sorumlusu Johnson Controls’ün 24.09.2023 tarihinde fidye yazılımı saldırısına maruz kalması sonucunda ihlalin gerçekleştiği, bununla birlikte kişisel verileri içeren birtakım bilgi teknolojileri varlıklarının da bu saldırıdan etkilendiği ve kullanılamamakta olduğu belirtilmiştir.
- HAVAİST TAŞIMACILIK SANAYİ VE TİCARET A.Ş. VERİ İHLALİ BİLDİRİMİ
Veri sorumlusu Havaist Taşımacılık Sanayi ve Ticaret A.Ş. tarafından kısa mesaj gönderimleri için hizmet alınan veri işleyenin sistemlerine saldırıda bulunulduğu ve ilgili kişilerin bilgilerine yetkisiz erişim sağlanması ile ihlalin gerçekleştiği belirtilmiştir. Oltalama saldırısı amacı ile atılan kısa mesajlar yolu ile ihlalden 77.000 kişiye ilişkin cep telefonu verisinin etkilendiği Kurum’a bildirilmiştir.
- VAVA CARS TURKEY OTOMATİV ANONİM ŞİRKETİ VERİ İHLALİ BİLDİRİMİ
31.10.2023 tarihinde gerçekleşen ve aynı gün tespit edilen ihlalin, bir dahili kullanıcının kimlik bilgilerinin ele geçirilmesi akabinde uygulama verilerine erişmek amacıyla kullanılması sonucu gerçekleştiği, ihlalden çalışanların, kullanıcıların, abonelerin/üyelerin, müşterilerin ve potansiyel müşterilerin dahil olduğu tam 32.589 kişinin etkilendiği bilgilerine yer verilmiştir.
Kişisel veri kategorilerinin isim, adres, telefon numarası, eposta adresi, IBAN, banka hesabı bilgileri, fiyat, VIN, plaka numarası ve araç bilgileri dahil olmak üzere araba satın alınırken sağlanan müşteri bilgileri, merkez adı ve plaka numarası dahil olmak üzere randevu için sağlanan müşteri bilgileri, bayi verileri, müşteri verileri, depo verileri, ihale detayları olduğu belirtilmiş ve ilgili kişilerin e-posta ve çağrı merkezi aracılığıyla veri sorumlusundan veri ihlali ile ilgili bilgi alabileceği ifade edilmiştir.
- DEMİRKOL OTEL İŞLETMECİLİĞİ TURİZM VE TİC. A.Ş. VERİ İHLALİ BİLDİRİMİ
04.11.2013 tarihinde fidye yazılımı saldırısına uğrayan Demirkol Otel İşletmeciliği Turizm ve Tic. A.Ş.’nin kuruma ilettiği veri ihlal bildiriminde verilerin, çalışanlara ait kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile ırk ve etnik köken bilgilerine ilişkin olduğu bildirilmiştir.
Ayrıca işbu ihlalden etkilenen kişi sayısının 5 ve kayıt sayısının 300.000 olarak beyan edildiği görülmektedir.
- BS BİZİM PERSONEL DANIŞMANLIK HİZ. A.Ş.VERİ İHLALİ BİLDİRİMİ
Bir diğer fidye yazılımı saldırısına uğrayan veri sorumlusu BS A.Ş.’nin bildirimi sonucunda ihlalden etkilenen kişi sayısının henüz tespit edilemediği, veri kategorilerinin kimlik, özlük, hukuki işlem, işlem güvenliği, sendika üyeliği ve ceza mahkûmiyeti ve güvenlik tedbirleri olduğu bildirilmiştir. Ayrıca ihlalden etkilenen ilgili kişi gruplarının çalışanlar ile müşteriler ve potansiyel müşteriler olduğu belirtilmiştir.
- KAYMEK KAYSERİ MESLEKİ EĞİTİM VE KÜLTÜR A.Ş. VERİ İHLALİ BİLDİRİMİ
Bilgi Teknolojileri ve İletişim Kurumu Bilgi Teknolojileri Dairesi Başkanlığı tarafından veri sorumlusuna gönderilen yazı ile tespit edilen bu veri ihlali e-posta üzerinden gelen maile tıklanması yolu ile gerçekleşmiştir.
İhlalden etkilenen öğrenci grubunun 7186 kişi olduğu ve kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük ve özel nitelikli kişisel veri kategorisinden ırk ve etnik köken bilgileri olduğu Kurum’a bildirilmiştir.
- TÜRKİYE ZİRAAT ODALARI BİRLİĞİ VERİ İHLALİ BİLDİRİMİ
Ekim ayında kuruma bildirilen son veri ihlalinde; Ziraat Odaları Bilgi Sisteminde (ZOBİS) kayıtlı bir kullanıcının hesap bilgileri kullanılarak farklı IP adreslerinden MERNİS sorgulamaları gerçekleştirildiğinin tespit edildiği ve sorgulamada kullanılan T.C. kimlik numaralarının ZOBİS veritabanında tutulmayan numaralar olduğu bildirilmiştir.
Bildiride ihlalden etkilenen verilerin kimlik verileri olduğu ve etkilenen kişi grubunun henüz tespit edilmediği belirtilmekle birlikte etkilenen kişi sayısının 162.000 olduğu bilgilerine yer verilmiştir.
- Kişisel verileri koruma kurumu ile rekabet kurumu arasında imzalanan iş birliği protokolü
Büyük veri teknolojileri ve kişisel verilerin gün geçtikçe artarak işlenmesi endişeler uyandırmaktadır. Aynı anda hem rekabet hukuku hem de veri koruma hukuku uygulamasına etki eden bu ilişki, ilgili otoriteler arasındaki iş birliğini doğurmuştur. Böylelikle aktif ve etkin bir ortamın sağlanabilmesi amacıyla, Kişisel Verileri Koruma Kurumu ile Rekabet Kurumu arasında İş Birliği ve Bilgi Paylaşımı Protokolü imzalanmıştır.
- Genetik verilerin işlenmesinde dikkat edilmesi gereken hususlara ilişkin rehber
Genetik veri işlenmesinin; ilgili kişilerin korunması, ulusal güvenlik ve ülkelerin ekonomik çıkarları doğrultusunda önem arz ettiği ve bu konuda tedbirlerin alınmasının gerekli olduğu kanaatiyle Kurum tarafından 43 numaralı rehber yayınlanmıştır.
- Mağazalarda alışveriş sırasında sms ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin duyuru
Günlük hayatımızda mağazalarda kasa işlemlerini gerçekleştirirken sıklıkla karşılaştığımız SMS yolu ile doğrulama kodu alınarak ödemelerin tamamlanması, fatura oluşturulması, faturanın iletişim adresine iletilmesi ya da bilgilerinin güncellenmesi için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesi istenmektedir. Ancak bahse konu işlemin sonucunda ilgili ticari elektronik ileti gönderilme iddiaları gündeme gelmektedir. Kurul tarafından, söz konusu şikâyet ve ihbarlar neticesinde, faaliyetlerin hukuka uygunluğunu sağlamak adına Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu (17.12.2021)yayımlamıştır. Ancak mevcut durumda, benzer yöntemlerin yaygın olarak uygulanmaya devam edildiği Kuruma gelen ihbar ve şikayetlerden anlaşılmış olup işbu kamuoyu duyurusunda güncelleme yapılması gereği hasıl olmuştur;
- Mağazada kasa işlemleri sırasında ilgili kişilerin telefonuna gönderilecek SMS’in amacının ve SMS ile iletilen kodun paylaşılması halinde doğacak sonuçların, aydınlatmanın gereği olarak mağazadaki yetkili personel tarafından ilgili kişilere açık ve anlaşılır şekilde aktarılması ve aydınlatma yükümlülüğünün yerine getirilmesi amacıyla SMS’de gerekli bilgilendirmenin sağlanması gerekmektedir.
- Ödeme esnasında işbu SMS ile üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması gibi birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilerek açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerinin ayrı ayrı açık rıza ile alınması gerekmektedir.
- Ticari elektronik ileti gönderimi için açık rıza alınması amacıyla SMS doğrulama kodu gönderilmesine yönelik bir uygulama söz konusu ise ilgili işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması gerekmektedir.
- Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesi ilgili kişilere alışverişin tamamlanabilmesi için zorunlu bir unsur olarak sunulmamalıdır.
- Ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi gerekmektedir. Böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilecektir.
Bu güncellemeler uygulama açısından büyük önem arz etmektedir.
- ANAYASA MAHKEMESİ’NİN sOSYAL MEDYA ÜZERİNDEN İFADE ÖZGÜRLÜĞÜNÜN VE ÖZEL HAYATA SAYGI HAKKININ İHLALİNE İLİŞKİN KARARI
Anayasa Mahkemesi’nin 2019/10975 başvuru numaralı 14.06.2023 tarihli kararında başvuru konusu uyuşmazlık, iş sözleşmesinin sosyal medya paylaşımları gerekçe gösterilerek feshedilmesine ilişkindir. Özetle başvuruya konu olan siyasi içerikli sosyal medya paylaşımlarında başvurucular genel olarak siyasetçileri, hükümeti ve davranışlarını hedef almaktadır. AYM’nin kanaati; başvurucuların yaygın ve popüler araçlardan biri haline gelen sosyal medya platformlarından düşüncelerini açıkladıkları, bu paylaşımların iş sözleşmesinin feshine konu olmayacağı ve Anayasa’nın 20. ve 26. maddelerinde güvence altına alınan özel hayata saygı hakkının ve ifade özgürlüğü hakkının ihlal edildiğine karar verilmesi yönündedir.
- AVRUPA KOMİSYONU TÜRKİYE RAPORU
Avrupa Komisyonu, 2023 Genişleme Paketi kapsamında Türkiye Raporu’nu yayınladı. Raporda, Türkiye Kişisel Verilerin Korunması Mevzuatı ve Mevzuatın Avrupa Birliği müktesebatına uyum sürecindeki durumuna ilişkin değerlendirmeler mevcuttur. Özellikle Kurum’un bağımsızlığı bakımından bazı düzenlemelerin yapılması gerektiği vurgulanmıştır.
sonuç
Yukarıda açıklanan kararlara ve bildirilere bakıldığında, Ekim ve Kasım aylarında kişisel verilerin korunmasına ilişkin oldukça yoğun bir dönem yaşanmıştır. İhlallerin sebebinin sıklıkla siber saldırganlar tarafından fidye yazılım saldırısı kaynaklı olduğunu, çoğunlukla veri sorumlusunun da alması gereken önlemleri almamasından mütevellit devam ettiğini gözlemlemekle birlikte bu ihlalleri azaltmak için her türlü teknik ve idari tedbirlerin temel düzeyde alınması ve bu yönde çalışmaların artırılması gerektiği kanaatindeyiz.
Ayrıca Kurul’un, Mağazalarda Alışveriş Sırasında SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Duyuru’su veri sorumlularının aydınlatma ve açık rıza alma yükümlülüğü ve özellikle mağaza görevlilerine sorumluluklar yüklemesi açısından dikkat çekmektedir.
Kaynakça:
İlgili karar, duyuru ve haberlere aşağıdaki bağlantılardan ulaşabilirsiniz:
https://kvkk.gov.tr/SharedFolderServer/CMSFiles/f3ca871c-bdac-48b1-ace3-9d40dbe533d2.pdf
https://www.ab.gov.tr/siteimages/resimler/2023%20T%C3%BCrkiye%20Raporu.pdf
*Yasal Uyarı*
İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.
Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.