2022 YILINDA
TÜRKİYE VE DÜNYA’DA VERİ KORUMA ALANINDA YAŞANAN GELİŞMELER
2022 yılı Türkiye ve Dünya’da Veri Koruma Otoritelerinin yoğun mesai harcadığı bir yıl oldu. Hollanda (DPA), İngiltere(ICO), Fransa(CNIL) Veri koruma Otoriteleri, İrlanda Özgürlükler Konseyi çarpıcı kararlara imza atarken, Kanada, Singapur ve Birleşik Krallık hükümetleri nesnelerin interneti cihazları (Internet of Technology / “IoT”)aracılığıyla başlatılacak siber saldırılarda siber güvenlik önlemlerinin yetersizliğine dikkat çekerek güvenlik önlemlerinin artırılmasına yönelik taahhütte bulundu. Türkiye’de 31.12.2021 Veri Sorumluları Sicil Bilgi Sistemine (“VERBİS”) kayıt yükümlülüğünün yerine getirilmesinde son tarih olunca Kişisel Verileri Koruma Kurumu (KVKK) yılı, VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında idari yaptırım uygulanmasına başlandığı duyurusu ile açtı[1].1 adet taahhütname başvurusu kabul eden 46 adet veri ihlal bildirimi yayımlayan Kurum ve diğer otoriteler bir yıl boyunca neler yapmış gelin birlikte bakalım.
Kişisel Verileri Koruma Kurumu
18.01.2022 tarihinde Türkiye Futbol Federasyonu tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 18.01.2022 tarihinde Kurul tarafından izin verilmiştir[2]. Bu taahhütname yıl içinde kabul edildiği yayımlanan tek taahhütnamedir.
Kararlar
2022 yılı içerisinde Kurum nezdinde 33 Adet Karar yayımlanmıştır. Sektör bazlı ilgi çekici Karar başlıkları aşağıdaki şekilde detaylandırılabilir:
-Veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı, söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı bir şikayet sürecinde, Kurul tarafından ürün veya hizmetlerin, gerçekleştirilen kampanyalar dahilinde ve veri sorumlusu şirketin sadakat programına özel indirimli fiyatlar üzerinden ek bir menfaatle sunuluyor olmasının, açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi olarak kabul edilemeyeceğinden, söz konusu dilekçeye ilişkin olarak Kanun hükümleri kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
“Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması”[4]
-İlgili kişinin kardeşi ve askeri personel olan eşi adına kayıtlı hatlara veri sorumlusu alacak yönetim şirketinin unvanını taşıyan bir başlık altında SMS gönderildiği, söz konusu SMS ile ilgili kişinin bir telekomünikasyon şirketine olan borcunun süresinin dolacağının ve ödenmemesi halinde icra işlemlerine başlanacağının bildirilmesi üzerine ilgili kişi tarafından yürütülen bir şikayet sürecinde, veri sorumlusunu arayan telefon numaralarının ilgili kişinin telefon numarası olarak kaydedilmesi ve bu telefonların aranması suretiyle borç bilgilerinin üçüncü kişiler ile paylaşılmasında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun ilgili hükümleri çerçevesinde 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
“Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi”[5]
-Şikâyette bulunan ilgili kişi tarafından, e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticarî içerikli bir ileti gönderildiği, bu durumun 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (6563 sayılı ETK) ilgili maddesindeki “Ticarî elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir…” hükmüne aykırılık teşkil ettiği iddiası akabinde veri sorumlusu tarafından ilgili kişinin veri sorumlusunun şubesine başvuru yapması sonucunda kişisel verileri elde edildiği ve bu bilginin hasta kayıt sürecinde Hastane Bilgi Yönetim Sistemi’ne (HBYS) kayıt edildiği savunmasında bulunulmuştur. Kurul tarafından yapılan değerlendirme sonucunda, veri sorumlusu tarafından bir veri işleme şartı olmaksızın ilgili kişinin e-posta adresine reklam ve pazarlama amacıyla bildirim gönderilmesi suretiyle kişisel verisinin işlenmesi sebebiyle 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
-İlgili kişi tarafından yapılan şikâyette özetle; bireysel kredi kartı ödemesi geciktirilmediği hâlde veri sorumlusu Banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir. İlgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının Kanun’un genel ilkelerinden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği dikkate alındığında, Kanun’un ilgili maddesinde yer alan “...Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek...” yükümlülüğüne aykırı davranan veri sorumlusu hakkında; 150.000 TL idari para cezası uygulanmasına karar verilmiştir.
“İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkında”[7]
-Veri sorumlusu ile iş ilişkisi sona eren ilgili kişi, kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve ilgili kişi yurt dışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu, kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları ifade edilerek veri sorumlusu şirket hakkında Kanun kapsamında gereğinin yapılmasını talep etmiştir. Kurul tarafından konuya ilişkin yapılan incelemede, ilgili kişinin iş sözleşmesine bir madde olarak eklenen aydınlatma metninin aynı zamanda açık rıza metni niteliği de taşıyan karma nitelikte bir metin olduğu, aydınlatma metninin içermesi gereken asgari unsurları içermediği ve aydınlatmanın açık rıza beyanından ayrı olarak yerine getirilmediği dikkate alındığında aydınlatma yükümlülüğünün Kanun’un 10’uncu maddesi ve Tebliğ’e uygun şekilde düzenlenerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, veri sorumlusunun biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından, özgür irade ile imzalanmadığı, personelin işyerine giriş çıkışlarında kullanılan biyometrik personelin işyerine giriş çıkışlarında kullanılan biyometrik verilerle ulaşılmak istenen amaca başka vasıtalarla ulaşılabilecek olmasına rağmen açık rıza şartına dayanılarak biyometrik veri işlenmesinin Kanun’un ilgili maddesinde yer alan amaç ile ölçülü olma ilkesine aykırı olduğu gerekçeleriyle 125.000 TL idari para cezası uygulanmasına, karar verilmiştir.
“Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması”[8]
-Kurula intikal eden bir şikâyette özetle, araba kiralama yazılımı kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, bu kapsamda aynı yazılımları kullanan diğer şirketlerin de, rızaları olmaksızın ilgili müşterilerin kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği, müşterilerin rızası alınmaksızın bu yazılım vasıtasıyla kara listeye alındıkları ve böylece bu yazılımı kullanan diğer kullanıcılar ile kişisel verilerinin paylaşıldığı ifade edilerek, Kanun kapsamında incelenmesi ve gereğinin yapılması talep edilmiştir. Kurul, gerçekleştirdiği değerlendirmesi sonucunda, ihbar konusu olayda araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile birlikte ortak veri sorumlusu olarak hareket ettiğine, bu minvalde işlenen kişisel verilerin Kanuna aykırılık doğuracağı dikkate alındığında bu yönde işlenmiş kişisel verilerin Kanunun ilgili maddesinde düzenlenen hükümler ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha edilmesi hususunda ihbar kapsamında incelenen veri sorumlularının talimatlandırılmasına karar verilmiştir.
“Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi[9]”
-Veri sorumlusu şirketin eski çalışanı olduğu, ilgili kişi ile veri sorumlusunun karşılıklı taraf oldukları dava dosyalarına sunulan delil listeleri içeriğinde, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü, veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu bu hususa dair denetim kriterlerinin de belirlenmediği, ilgili kişinin özel hayatına ilişkin e-posta içeriklerinin bilinçli bir şekilde kötü niyetli olarak veri sorumlusu tarafından ele geçirildiği iddialarıyla veri sorumlusu şirket hakkında Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir. Kurul’un değerlendirmesi sonucunda, İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapmaması nedeniyle veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un ilgili maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, veri sorumlusunun yükümlülüklerinin ihlal edildiği ve ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında Kanun’un ilgili hükümleri uyarınca 250.000 TL idari para cezası uygulanmasına karar verilmiştir.
Rehberler
Kurum, 2022 içerisinde sektör ve işkolu bazlı yayımladığı rehberlerle de çalışmalarına devam etmiştir.
5. Yılında Kişisel Verileri Koruma Kurumu başlıklı rehber yayımlanmıştır[10].
Rehber içeriğine göre; Kuruma 31.03.2022 tarihine kadar 779 veri ihlali bildirimi yapılmış, bunlardan 448’i sonuçlandırılmış ve 181’i Kurumun internet sayfasında yayınlanmıştır. En fazla veri ihlal bildiriminde bulunulan sene 2021’dir. Ocak 2017 ila Mart 2022’yi kapsayan dönemde Kurumun görev alanı ve mevzuatıyla ilgili olarak kamu kurum ve kuruluşları ile gerçek kişiler ve özel hukuk tüzel kişilerince Kişisel Verilerin Korunması Kanunu’nun uygulanmasına ilişkin olarak talep edilen 762 adet görüş talebi cevaplandırılmıştır. Ocak 2017 ila Mart 2022’yi kapsayan dönemde Kuruma 22.103 şikâyet, ihbar ve başvuru intikal etmiş bunlardan 20.389’u sonuçlandırılmış ve toplam 74.116.828 TL idari para cezası kesilmiştir. En yüksek idari para cezasının kesildiği sene 2021’dir. Ek olarak Rehber içeriğinde Kurumun teşkilat yapısına, kurumsal iş ve işlemlere, mevzuat düzenlemelerine, kurumsal tanıtım ve bilinçlendirme faaliyetlerine yer verilmiştir.
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi yayımlanmıştır[11].
Rehber içeriğinde; Bankacılık Kanunu’nun 73. Maddesine dayanarak yapılacak müşteri sırrı paylaşımlarına Kişisel Verileri Koruma Kanunu’nda tanımlanan “açık rıza kavramının” uygulanmayacağına, açık bankacılık hizmetlerinde mevcut üç temel veri işleme faaliyetine, sair mevzuatlara dayanılarak veri güvenliği kapsamında bankaların yükümlülükleri belirlenmiş; bilgi talep etmeye yetkili mercilere Bankalar tarafından gerçekleştirilen kişisel veri aktarımları detaylandırılmış, bankacılığa özgü veri kategorileri ile azami süreler örneklendirilmiş, bankaların veri işleyenler ile yaptıkları hizmet sözleşmelerine ek olarak “Veri İşleme Sözleşmesi” yapılması tavsiye edilmiş ve bu sözleşmede yer verilmesi gereken asgari unsurlara değinilmiştir.
Çerez Uygulamaları Hakkında Rehber yayımlanmıştır[12].
Rehber içinde; genel anlatımla “Çerez” ve “Çerez Türlerine”, “Elektronik Haberleşme Kanunu” ile “Kişisel Verilerin Korunması Kanunu” arasındaki ilişkiye, Çerezler bakımından dikkat edilmesi gereken veri işleme şartlarına, Açık rıza gerektiren ve gerektirmeyen çerez kullanım senaryolarına, Çerezlere yönelik uygun aydınlatmanın yapılmasına, Uygulama örneklerine yer verilmiştir.
“Doğru Bilinen Yanlışlar – 2” kitapçığı yayımlanmıştır[13].
Kişisel Verileri Koruma Kurumu tarafından Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar Rehberinin 2. versiyonu yayımlanmıştır. Soru-cevap formatında hazırlanan Rehberde, “ilgili kişilerden açık rıza alınması”, “aydınlatma yükümlülüğünün yerine getirilmesi”, “unutulma hakkı”, “yurtdışına veri aktarımı”, “veri ihlal bildirimleri”, “VERBİS yükümlülüğü” konuları başta olmak üzere 64 soru cevaplandırılmış olup; Kurul kararlarına da atıflar yapılmıştır.
Duyurular
“Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu” yayımlanmıştır[14].
Duyuru içeriğinde veri güvenliğinde temel alınması gereken teknik hususlara yer verilmiştir.
Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı Hakkında Kamuoyu Duyurusu yayımlanmıştır.
Görüş ve değerlendirmelerin Kuruma sunulması için 1 aylık süre tanınmıştır.
Sadakat Programlarına İlişkin Rehber Taslağı kamuoyunun görüşüne sunuldu.
Görüş ve değerlendirmelerin Kuruma sunulması için 1 aylık süre tanınmıştır.
İlke Kararları
Araç kiralama sektöründeki kara liste uygulamalarından, e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/ aramaları yönlendirilmesinin önüne geçilmesi, veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi başta olmak üzere farklı konularda toplam 7 adet ilke karar yayımlanmıştır.
Hollanda Veri Koruma Otoritesi
Hollanda Veri Koruma Otoritesi (Data Protection Authority/ “DPA”), Avrupa Birliği Genel Veri Koruma Tüzüğünü (“GDPR”) ihlal ederek son üç yılda yılda yaklaşık 530.000 vize başvurusunu yeterli kişisel veri koruması olmadan işleme koyduğu için Dışişleri Bakanlığına 565.000 avro para cezası vermiştir. DPA, yetkisiz kişilerin bakanlığın Ulusal Vize Bilgi Sistemindeki dosyalara erişebileceği ve bunları değiştirebileceği risklerini tespit etmiştir. Ayrıca bakanlığın vize başvuru sahiplerini kişisel verilerinin diğer taraflarla paylaşımı konusunda yeterince bilgilendirmediğini tespit etmiştir.[15].
İngiltere Veri Koruma Otoritesi
İngiltere Veri Koruma Otoritesi (Information Commissioner’s Office/ “ICO”), elektronik posta kullanarak doğrudan pazarlama konusunda bir kılavuz yayınladı. Kılavuzda, elektronik posta ile pazarlamanın ne olduğu ve doğrudan pazarlama kurallarına nasıl uyulacağı da dahil olmak üzere 2003 tarihli Gizlilik ve Elektronik İletişim Yönetmeliklerine uymak için nelerin gerekli olduğu ayrıntılı olarak açıklanmakta; Yönetmelik ile veri koruma düzenlemeleri arasındaki ilişki ve bu durumun elektronik posta pazarlaması için ne anlama geldiği ve uyumsuzluk durumunda ne olacağı da tartışılmaktadır[16].
ICO, Easylife Ltd'ye 145.400 müşterinin kişisel bilgilerini, tıbbi durumlarını tahmin etmek ve onları rızaları olmadan sağlıkla ilgili ürünlerle hedeflemek için kullandığı için 1.350.000 £ para cezası vermiştir. Soruşturma kapsamında ICO, bir müşterinin Easylife'ın Sağlık Kulübü kataloğundan bir ürün satın aldığında, şirketin tıbbi durumları hakkında varsayımlarda bulunacağını ve daha sonra sağlıkla ilgili ürünleri rızaları olmadan onlara pazarlayacağını tespit etmiştir.[17]
ICO, TikTok uygulamasının İngiltere Veri Koruma Yasası’nı ihlal ettiği ve platform üzerinde çocukların gizliliğini koruyamadığı tespitiyle soruşturma başlatmıştır[18].
İrlanda Sivil Özgürlükler Konseyi
İrlanda Sivil Özgürlükler Konseyi, (The Irish Council for Civil Liberties / “'ICCL”) perakende zinciri Tesco’dan bazı mağazalarda kişisel verilerin gereksiz yere işlenmesine son vermesini talep etmiştir. Tesco'nun Birleşik Krallık'taki bazı perakende mağazalarına girişi Tesco sadakat programına abonelik şartına bağladığını, programın kapsamlı veri toplama ve işleme gerektirdiğini bu tür bir toplama ve işleme koşulunun GDPR’ın m. 5(c)'de yer alan veri minimizasyonu ilkesini ihlal ettiğini ifade etmiştir.[19].
Fransız Veri Koruma Otoritesi
Fransız Veri Koruma Otoritesi (“CNIL”), Fransız AdTech devi Criteo'nun GDPR’ı ihlal ettiğine karar veren ve çok yıl süren bir soruşturmanın ardından 60 milyon € (yaklaşık 61,03 milyon USD) ceza kesen bir ön karar yayımladı[20]
Bununla birlikte, Kanada, Singapur ve Birleşik Krallık hükümetleri, Ağa bağlanabilen (Nesnelerin İnterneti veya Internet of Technology / “IoT”) ürünlerin sürekli büyümesinin, vatandaşlara büyük faydalar sağladığını fakat bu ürünlerin birçoğunun şu anda temel siber güvenlik hükümlerinden bile yoksun olduğunu ve bunun sonucunda tüketicilerin güvenliği, mahremiyeti ve emniyeti risk altında kalırken, ekonominin geneli de güvensiz IoT aracılığıyla başlatılabilecek büyük ölçekli siber saldırılara karşı savunmasız kaldığını belirtmiş, nesnelerin interneti cihazlarına yönelik siber güvenlik önlemlerinin artırılmasına yönelik taahhütlerini ortaklaşa açıklamıştır.[21]. Hükümetler IoT teknolojilerinin faydalarının, "bu yükü tüketicilere yüklemek yerine, tasarım aşamasından itibaren bu ürünlere yerleştirilen" "uygun siber güvenlik gereksinimleri" ile gerçekleştirilebileceğini söylemiştir[22].
Apple, Mayıs 2022’de yayımladığı bir duyuru ile, hesap oluşturmayı destekleyen uygulamalara, 30 Haziran 2022 tarihinden itibaren kullanıcıların uygulama içinde hesaplarını silmelerine izin verme zorunluluğu getirmiştir. Bu işlem ile, kullanıcıların bir hesabı yalnızca geçici olarak devre dışı bırakma veya devre dışı bırakma olanağını sağlamak yeterli olmayacak, Kullanıcılar hesabı kişisel verileriyle birlikte silebilecektir[23].
2023 Yılı KVKK Cephesindeki Beklentilere İlişkin Değerlendirme
2016 yılında hayatımıza giren Kişisel Verilerin Korunması Kanunu, kapsamı gereği GDPR’dan farklı şekilde düzenlenmiştir. Ancak, uygulayıcılar ve akademik çevrede Kanun’un uygulama alanının ihtiyaçları karşılayamadığı, Kanun’da zaman zaman gri noktaların var olduğu görüşleri yaygındır. GDPR’ın kapsamının daha geniş düzenlendiği dikkate alındığında, uygulama alanının genişliği sebebiyle ihtiyaçlara daha kolay cevap vermesi bakımından 2023 yılında Kanun’un GDPR’a uyumlu hale getirilmesine yönelik adımlar atılacağı beklentisi hasıldır.
Bu doğrultuda, Kanun'un 6.maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarının çok katmanlı bir yapıya ayrılmış olması ve 9. maddesinde düzenlenen yurt dışına veri aktarım koşullarının şu ana dek gri alanda kalmış olması sebepleriyle her iki madde de uygulanması ve yorumlanması bakımından sorunlar yaratmaktadır. 2023 yılında gerek özel nitelikli kişisel verilerin işlenmesi gerekse yurt dışına veri aktarım koşulları bakımından uygulamacılar lehine bir aksiyon alınacağı, diğer bir ifadeyle Kanun değişikliği ile madde düzenlemelerinin GDPR’a uyumlu hale geleceği beklenmektedir.
GDPR nezdinde kişisel verilerin işlenmesine ilişkin ilkeler bakımından veri kontrolörünün (Kanundaki karşılığı ile veri sorumlusu) uymakla yükümlü kılındığı hesap verilebilirlik ilkesinden bahsedilmektedir. Bu ilkenin karşılığı Kanun nezdinde VERBİS olarak karşımıza çıkmaktadır. Her ne kadar veri sorumluları tarafından işlenen kişisel verilere yönelik bilgilendirmenin yapılarak VERBİS’e kayıt olunması, kamuoyuna karşı şeffaflık ilkesinin karşılığı olsa da, VERBİS kayıtlarının her daim veri sorumlusunun faaliyetlerini eksiksiz ve güncel yansıtamayabileceği görüşünden hareketle VERBİS’e kayıt yükümlülüğünün ortadan kalkacağı yönünde de kuvvetli bir beklenti hasıldır.
Raporu okumak için tıklayınız.
2022 YILINDA
TÜRKİYE VE DÜNYA’DA VERİ KORUMA ALANINDA YAŞANAN GELİŞMELER
2022 yılı Türkiye ve Dünya’da Veri Koruma Otoritelerinin yoğun mesai harcadığı bir yıl oldu. Hollanda (DPA), İngiltere(ICO), Fransa(CNIL) Veri koruma Otoriteleri, İrlanda Özgürlükler Konseyi çarpıcı kararlara imza atarken, Kanada, Singapur ve Birleşik Krallık hükümetleri nesnelerin interneti cihazları (Internet of Technology / “IoT”)aracılığıyla başlatılacak siber saldırılarda siber güvenlik önlemlerinin yetersizliğine dikkat çekerek güvenlik önlemlerinin artırılmasına yönelik taahhütte bulundu. Türkiye’de 31.12.2021 Veri Sorumluları Sicil Bilgi Sistemine (“VERBİS”) kayıt yükümlülüğünün yerine getirilmesinde son tarih olunca Kişisel Verileri Koruma Kurumu (KVKK) yılı, VERBİS’e kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında idari yaptırım uygulanmasına başlandığı duyurusu ile açtı[1].1 adet taahhütname başvurusu kabul eden 46 adet veri ihlal bildirimi yayımlayan Kurum ve diğer otoriteler bir yıl boyunca neler yapmış gelin birlikte bakalım.
Kişisel Verileri Koruma Kurumu
18.01.2022 tarihinde Türkiye Futbol Federasyonu tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kişisel Verileri Koruma Kurulu tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 9 uncu maddesinin 2 nci fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 18.01.2022 tarihinde Kurul tarafından izin verilmiştir[2]. Bu taahhütname yıl içinde kabul edildiği yayımlanan tek taahhütnamedir.
Kararlar
2022 yılı içerisinde Kurum nezdinde 33 Adet Karar yayımlanmıştır. Sektör bazlı ilgi çekici Karar başlıkları aşağıdaki şekilde detaylandırılabilir:
-Veri sorumlusunun mağazasında satılan bazı ürünlere sadakat karta özel indirim uygulandığı, böylece özel indirimlerin şarta bağlandığı, söz konusu sadakat programına üyelik ve kart temini için de müşterinin kişisel verilerinin talep edildiği ve açık rızanın koşul olarak dayatıldığı bir şikayet sürecinde, Kurul tarafından ürün veya hizmetlerin, gerçekleştirilen kampanyalar dahilinde ve veri sorumlusu şirketin sadakat programına özel indirimli fiyatlar üzerinden ek bir menfaatle sunuluyor olmasının, açık rızanın koşul olarak dayatılması ve bu anlamda ilgili kişinin açık rızasının bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının ön şartı olarak ileri sürülmesi olarak kabul edilemeyeceğinden, söz konusu dilekçeye ilişkin olarak Kanun hükümleri kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
“Bir alacak yönetim şirketi tarafından ilgili kişinin borç bilgilerinin üçüncü kişilerle paylaşılması”[4]
-İlgili kişinin kardeşi ve askeri personel olan eşi adına kayıtlı hatlara veri sorumlusu alacak yönetim şirketinin unvanını taşıyan bir başlık altında SMS gönderildiği, söz konusu SMS ile ilgili kişinin bir telekomünikasyon şirketine olan borcunun süresinin dolacağının ve ödenmemesi halinde icra işlemlerine başlanacağının bildirilmesi üzerine ilgili kişi tarafından yürütülen bir şikayet sürecinde, veri sorumlusunu arayan telefon numaralarının ilgili kişinin telefon numarası olarak kaydedilmesi ve bu telefonların aranması suretiyle borç bilgilerinin üçüncü kişiler ile paylaşılmasında kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı tespit edilen veri sorumlusu hakkında Kanunun ilgili hükümleri çerçevesinde 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
“Sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ilgili kişinin kişisel verilerinin açık rızası alınmaksızın ticarî elektronik ileti gönderilmesi amacıyla işlenmesi”[5]
-Şikâyette bulunan ilgili kişi tarafından, e-posta adresine sağlık sektöründe faaliyet gösteren veri sorumlusu tarafından ticarî içerikli bir ileti gönderildiği, bu durumun 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (6563 sayılı ETK) ilgili maddesindeki “Ticarî elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir…” hükmüne aykırılık teşkil ettiği iddiası akabinde veri sorumlusu tarafından ilgili kişinin veri sorumlusunun şubesine başvuru yapması sonucunda kişisel verileri elde edildiği ve bu bilginin hasta kayıt sürecinde Hastane Bilgi Yönetim Sistemi’ne (HBYS) kayıt edildiği savunmasında bulunulmuştur. Kurul tarafından yapılan değerlendirme sonucunda, veri sorumlusu tarafından bir veri işleme şartı olmaksızın ilgili kişinin e-posta adresine reklam ve pazarlama amacıyla bildirim gönderilmesi suretiyle kişisel verisinin işlenmesi sebebiyle 100.000 TL idari para cezası uygulanmasına karar verilmiştir.
-İlgili kişi tarafından yapılan şikâyette özetle; bireysel kredi kartı ödemesi geciktirilmediği hâlde veri sorumlusu Banka tarafından kanuni takip başlatıldığı ve defalarca ilgili kişinin kredi notunu etkileyen hukuksuz işlemler yapıldığı, ilgili kişinin kredi notunun düşürüldüğü, yapılan itiraz üzerine Banka tarafından bu işlemin düzeltildiği ve kredi notunun yüksek düzeye yeniden çekildiği fakat bu işlemin takip eden aylarda Banka tarafından birkaç kez daha tekrarlandığı ve her seferinde ilgili kişinin ısrarlı tepkileri sonucunda düzeltildiği, finans bilgilerinin gerçeğe aykırı olarak hukuksuz bir biçimde paylaşıldığı, ilgili kişi ile hiçbir finans kurumu arasında kredi, bireysel kart vb. gibi işlemlerin yapılamadığı, ilgili kişinin itibarının zedelendiği ve Bankaya yapılan başvurulara yanıt verilmediği belirtilerek veri sorumlusu hakkında gereğinin yapılması talep edilmiştir. İlgili kişiye ait kişisel veri niteliğini haiz kredi notu bilgisinin veri sorumlusu tarafından yanlış işlenmesi ve Risk Merkezine aktarılmasının Kanun’un genel ilkelerinden; “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği dikkate alındığında, Kanun’un ilgili maddesinde yer alan “...Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek...” yükümlülüğüne aykırı davranan veri sorumlusu hakkında; 150.000 TL idari para cezası uygulanmasına karar verilmiştir.
“İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkında”[7]
-Veri sorumlusu ile iş ilişkisi sona eren ilgili kişi, kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve ilgili kişi yurt dışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu, kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları ifade edilerek veri sorumlusu şirket hakkında Kanun kapsamında gereğinin yapılmasını talep etmiştir. Kurul tarafından konuya ilişkin yapılan incelemede, ilgili kişinin iş sözleşmesine bir madde olarak eklenen aydınlatma metninin aynı zamanda açık rıza metni niteliği de taşıyan karma nitelikte bir metin olduğu, aydınlatma metninin içermesi gereken asgari unsurları içermediği ve aydınlatmanın açık rıza beyanından ayrı olarak yerine getirilmediği dikkate alındığında aydınlatma yükümlülüğünün Kanun’un 10’uncu maddesi ve Tebliğ’e uygun şekilde düzenlenerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, veri sorumlusunun biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından, özgür irade ile imzalanmadığı, personelin işyerine giriş çıkışlarında kullanılan biyometrik personelin işyerine giriş çıkışlarında kullanılan biyometrik verilerle ulaşılmak istenen amaca başka vasıtalarla ulaşılabilecek olmasına rağmen açık rıza şartına dayanılarak biyometrik veri işlenmesinin Kanun’un ilgili maddesinde yer alan amaç ile ölçülü olma ilkesine aykırı olduğu gerekçeleriyle 125.000 TL idari para cezası uygulanmasına, karar verilmiştir.
“Araç kiralama programları yazılımcısı ve satıcısı firmalar tarafından, ilgili kişilerin verilerinin işlenmesi ve bu verilerin araç kiralama firmaları arasında paylaşılmasını sağlayan bir kara liste programı oluşturulması”[8]
-Kurula intikal eden bir şikâyette özetle, araba kiralama yazılımı kullanan araba kiralama şirketlerinin müşterileri hakkında elde ettikleri tüm verileri bu yazılımlar vasıtasıyla kayıt altında tuttuğu, bu kapsamda aynı yazılımları kullanan diğer şirketlerin de, rızaları olmaksızın ilgili müşterilerin kişisel verilerini uygulamadaki kara liste havuzundan görebildiği ve böylece bu yazılımı kullanan diğer kullanıcılara verilerin ifşa edildiği, müşterilerin rızası alınmaksızın bu yazılım vasıtasıyla kara listeye alındıkları ve böylece bu yazılımı kullanan diğer kullanıcılar ile kişisel verilerinin paylaşıldığı ifade edilerek, Kanun kapsamında incelenmesi ve gereğinin yapılması talep edilmiştir. Kurul, gerçekleştirdiği değerlendirmesi sonucunda, ihbar konusu olayda araç kiralama yazılımı üreten ve satan şirketlerin araç kiralama firmaları ile birlikte ortak veri sorumlusu olarak hareket ettiğine, bu minvalde işlenen kişisel verilerin Kanuna aykırılık doğuracağı dikkate alındığında bu yönde işlenmiş kişisel verilerin Kanunun ilgili maddesinde düzenlenen hükümler ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun şekilde imha edilmesi hususunda ihbar kapsamında incelenen veri sorumlularının talimatlandırılmasına karar verilmiştir.
“Veri sorumlusu işveren tarafından eski çalışanı olan ilgili kişinin kurumsal e-posta hesabına aydınlatma yapılmaksızın erişilmesi[9]”
-Veri sorumlusu şirketin eski çalışanı olduğu, ilgili kişi ile veri sorumlusunun karşılıklı taraf oldukları dava dosyalarına sunulan delil listeleri içeriğinde, ilgili kişiye ait kişisel veri niteliğinde olan ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığının görüldüğü, veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu bu hususa dair denetim kriterlerinin de belirlenmediği, ilgili kişinin özel hayatına ilişkin e-posta içeriklerinin bilinçli bir şekilde kötü niyetli olarak veri sorumlusu tarafından ele geçirildiği iddialarıyla veri sorumlusu şirket hakkında Kanun hükümleri uyarınca gerekli işlemlerin yapılması talep edilmiştir. Kurul’un değerlendirmesi sonucunda, İlgili kişiye Kanun ve Tebliğ hükümleri kapsamında herhangi bir aydınlatma yapmaması nedeniyle veri sorumlusu tarafından ilgili kişinin e-postalarının incelenmesinin Kanun’un ilgili maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, veri sorumlusunun yükümlülüklerinin ihlal edildiği ve ilgili kişinin e-postalarının incelenmesinin Kanun’un 5’inci maddesinde yer verilen herhangi bir işleme şartına dayanmadığı dikkate alındığında, Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil eden uygulaması nedeniyle veri sorumlusu hakkında Kanun’un ilgili hükümleri uyarınca 250.000 TL idari para cezası uygulanmasına karar verilmiştir.
Rehberler
Kurum, 2022 içerisinde sektör ve işkolu bazlı yayımladığı rehberlerle de çalışmalarına devam etmiştir.
5. Yılında Kişisel Verileri Koruma Kurumu başlıklı rehber yayımlanmıştır[10].
Rehber içeriğine göre; Kuruma 31.03.2022 tarihine kadar 779 veri ihlali bildirimi yapılmış, bunlardan 448’i sonuçlandırılmış ve 181’i Kurumun internet sayfasında yayınlanmıştır. En fazla veri ihlal bildiriminde bulunulan sene 2021’dir. Ocak 2017 ila Mart 2022’yi kapsayan dönemde Kurumun görev alanı ve mevzuatıyla ilgili olarak kamu kurum ve kuruluşları ile gerçek kişiler ve özel hukuk tüzel kişilerince Kişisel Verilerin Korunması Kanunu’nun uygulanmasına ilişkin olarak talep edilen 762 adet görüş talebi cevaplandırılmıştır. Ocak 2017 ila Mart 2022’yi kapsayan dönemde Kuruma 22.103 şikâyet, ihbar ve başvuru intikal etmiş bunlardan 20.389’u sonuçlandırılmış ve toplam 74.116.828 TL idari para cezası kesilmiştir. En yüksek idari para cezasının kesildiği sene 2021’dir. Ek olarak Rehber içeriğinde Kurumun teşkilat yapısına, kurumsal iş ve işlemlere, mevzuat düzenlemelerine, kurumsal tanıtım ve bilinçlendirme faaliyetlerine yer verilmiştir.
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi yayımlanmıştır[11].
Rehber içeriğinde; Bankacılık Kanunu’nun 73. Maddesine dayanarak yapılacak müşteri sırrı paylaşımlarına Kişisel Verileri Koruma Kanunu’nda tanımlanan “açık rıza kavramının” uygulanmayacağına, açık bankacılık hizmetlerinde mevcut üç temel veri işleme faaliyetine, sair mevzuatlara dayanılarak veri güvenliği kapsamında bankaların yükümlülükleri belirlenmiş; bilgi talep etmeye yetkili mercilere Bankalar tarafından gerçekleştirilen kişisel veri aktarımları detaylandırılmış, bankacılığa özgü veri kategorileri ile azami süreler örneklendirilmiş, bankaların veri işleyenler ile yaptıkları hizmet sözleşmelerine ek olarak “Veri İşleme Sözleşmesi” yapılması tavsiye edilmiş ve bu sözleşmede yer verilmesi gereken asgari unsurlara değinilmiştir.
Çerez Uygulamaları Hakkında Rehber yayımlanmıştır[12].
Rehber içinde; genel anlatımla “Çerez” ve “Çerez Türlerine”, “Elektronik Haberleşme Kanunu” ile “Kişisel Verilerin Korunması Kanunu” arasındaki ilişkiye, Çerezler bakımından dikkat edilmesi gereken veri işleme şartlarına, Açık rıza gerektiren ve gerektirmeyen çerez kullanım senaryolarına, Çerezlere yönelik uygun aydınlatmanın yapılmasına, Uygulama örneklerine yer verilmiştir.
“Doğru Bilinen Yanlışlar – 2” kitapçığı yayımlanmıştır[13].
Kişisel Verileri Koruma Kurumu tarafından Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar Rehberinin 2. versiyonu yayımlanmıştır. Soru-cevap formatında hazırlanan Rehberde, “ilgili kişilerden açık rıza alınması”, “aydınlatma yükümlülüğünün yerine getirilmesi”, “unutulma hakkı”, “yurtdışına veri aktarımı”, “veri ihlal bildirimleri”, “VERBİS yükümlülüğü” konuları başta olmak üzere 64 soru cevaplandırılmış olup; Kurul kararlarına da atıflar yapılmıştır.
Duyurular
“Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu” yayımlanmıştır[14].
Duyuru içeriğinde veri güvenliğinde temel alınması gereken teknik hususlara yer verilmiştir.
Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı Hakkında Kamuoyu Duyurusu yayımlanmıştır.
Görüş ve değerlendirmelerin Kuruma sunulması için 1 aylık süre tanınmıştır.
Sadakat Programlarına İlişkin Rehber Taslağı kamuoyunun görüşüne sunuldu.
Görüş ve değerlendirmelerin Kuruma sunulması için 1 aylık süre tanınmıştır.
İlke Kararları
Araç kiralama sektöründeki kara liste uygulamalarından, e-posta adreslerine veya SMS ya da çağrı ile cep telefonlarına reklam bildirimleri/ aramaları yönlendirilmesinin önüne geçilmesi, veri sorumlusu nezdindeki kişisel verilere erişim yetkisi bulunan personelin yetkisi ve amacı dışında söz konusu verileri işlemesi başta olmak üzere farklı konularda toplam 7 adet ilke karar yayımlanmıştır.
Hollanda Veri Koruma Otoritesi
Hollanda Veri Koruma Otoritesi (Data Protection Authority/ “DPA”), Avrupa Birliği Genel Veri Koruma Tüzüğünü (“GDPR”) ihlal ederek son üç yılda yılda yaklaşık 530.000 vize başvurusunu yeterli kişisel veri koruması olmadan işleme koyduğu için Dışişleri Bakanlığına 565.000 avro para cezası vermiştir. DPA, yetkisiz kişilerin bakanlığın Ulusal Vize Bilgi Sistemindeki dosyalara erişebileceği ve bunları değiştirebileceği risklerini tespit etmiştir. Ayrıca bakanlığın vize başvuru sahiplerini kişisel verilerinin diğer taraflarla paylaşımı konusunda yeterince bilgilendirmediğini tespit etmiştir.[15].
İngiltere Veri Koruma Otoritesi
İngiltere Veri Koruma Otoritesi (Information Commissioner’s Office/ “ICO”), elektronik posta kullanarak doğrudan pazarlama konusunda bir kılavuz yayınladı. Kılavuzda, elektronik posta ile pazarlamanın ne olduğu ve doğrudan pazarlama kurallarına nasıl uyulacağı da dahil olmak üzere 2003 tarihli Gizlilik ve Elektronik İletişim Yönetmeliklerine uymak için nelerin gerekli olduğu ayrıntılı olarak açıklanmakta; Yönetmelik ile veri koruma düzenlemeleri arasındaki ilişki ve bu durumun elektronik posta pazarlaması için ne anlama geldiği ve uyumsuzluk durumunda ne olacağı da tartışılmaktadır[16].
ICO, Easylife Ltd'ye 145.400 müşterinin kişisel bilgilerini, tıbbi durumlarını tahmin etmek ve onları rızaları olmadan sağlıkla ilgili ürünlerle hedeflemek için kullandığı için 1.350.000 £ para cezası vermiştir. Soruşturma kapsamında ICO, bir müşterinin Easylife'ın Sağlık Kulübü kataloğundan bir ürün satın aldığında, şirketin tıbbi durumları hakkında varsayımlarda bulunacağını ve daha sonra sağlıkla ilgili ürünleri rızaları olmadan onlara pazarlayacağını tespit etmiştir.[17]
ICO, TikTok uygulamasının İngiltere Veri Koruma Yasası’nı ihlal ettiği ve platform üzerinde çocukların gizliliğini koruyamadığı tespitiyle soruşturma başlatmıştır[18].
İrlanda Sivil Özgürlükler Konseyi
İrlanda Sivil Özgürlükler Konseyi, (The Irish Council for Civil Liberties / “'ICCL”) perakende zinciri Tesco’dan bazı mağazalarda kişisel verilerin gereksiz yere işlenmesine son vermesini talep etmiştir. Tesco'nun Birleşik Krallık'taki bazı perakende mağazalarına girişi Tesco sadakat programına abonelik şartına bağladığını, programın kapsamlı veri toplama ve işleme gerektirdiğini bu tür bir toplama ve işleme koşulunun GDPR’ın m. 5(c)'de yer alan veri minimizasyonu ilkesini ihlal ettiğini ifade etmiştir.[19].
Fransız Veri Koruma Otoritesi
Fransız Veri Koruma Otoritesi (“CNIL”), Fransız AdTech devi Criteo'nun GDPR’ı ihlal ettiğine karar veren ve çok yıl süren bir soruşturmanın ardından 60 milyon € (yaklaşık 61,03 milyon USD) ceza kesen bir ön karar yayımladı[20]
Bununla birlikte, Kanada, Singapur ve Birleşik Krallık hükümetleri, Ağa bağlanabilen (Nesnelerin İnterneti veya Internet of Technology / “IoT”) ürünlerin sürekli büyümesinin, vatandaşlara büyük faydalar sağladığını fakat bu ürünlerin birçoğunun şu anda temel siber güvenlik hükümlerinden bile yoksun olduğunu ve bunun sonucunda tüketicilerin güvenliği, mahremiyeti ve emniyeti risk altında kalırken, ekonominin geneli de güvensiz IoT aracılığıyla başlatılabilecek büyük ölçekli siber saldırılara karşı savunmasız kaldığını belirtmiş, nesnelerin interneti cihazlarına yönelik siber güvenlik önlemlerinin artırılmasına yönelik taahhütlerini ortaklaşa açıklamıştır.[21]. Hükümetler IoT teknolojilerinin faydalarının, "bu yükü tüketicilere yüklemek yerine, tasarım aşamasından itibaren bu ürünlere yerleştirilen" "uygun siber güvenlik gereksinimleri" ile gerçekleştirilebileceğini söylemiştir[22].
Apple, Mayıs 2022’de yayımladığı bir duyuru ile, hesap oluşturmayı destekleyen uygulamalara, 30 Haziran 2022 tarihinden itibaren kullanıcıların uygulama içinde hesaplarını silmelerine izin verme zorunluluğu getirmiştir. Bu işlem ile, kullanıcıların bir hesabı yalnızca geçici olarak devre dışı bırakma veya devre dışı bırakma olanağını sağlamak yeterli olmayacak, Kullanıcılar hesabı kişisel verileriyle birlikte silebilecektir[23].
2023 Yılı KVKK Cephesindeki Beklentilere İlişkin Değerlendirme
2016 yılında hayatımıza giren Kişisel Verilerin Korunması Kanunu, kapsamı gereği GDPR’dan farklı şekilde düzenlenmiştir. Ancak, uygulayıcılar ve akademik çevrede Kanun’un uygulama alanının ihtiyaçları karşılayamadığı, Kanun’da zaman zaman gri noktaların var olduğu görüşleri yaygındır. GDPR’ın kapsamının daha geniş düzenlendiği dikkate alındığında, uygulama alanının genişliği sebebiyle ihtiyaçlara daha kolay cevap vermesi bakımından 2023 yılında Kanun’un GDPR’a uyumlu hale getirilmesine yönelik adımlar atılacağı beklentisi hasıldır.
Bu doğrultuda, Kanun'un 6.maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartlarının çok katmanlı bir yapıya ayrılmış olması ve 9. maddesinde düzenlenen yurt dışına veri aktarım koşullarının şu ana dek gri alanda kalmış olması sebepleriyle her iki madde de uygulanması ve yorumlanması bakımından sorunlar yaratmaktadır. 2023 yılında gerek özel nitelikli kişisel verilerin işlenmesi gerekse yurt dışına veri aktarım koşulları bakımından uygulamacılar lehine bir aksiyon alınacağı, diğer bir ifadeyle Kanun değişikliği ile madde düzenlemelerinin GDPR’a uyumlu hale geleceği beklenmektedir.
GDPR nezdinde kişisel verilerin işlenmesine ilişkin ilkeler bakımından veri kontrolörünün (Kanundaki karşılığı ile veri sorumlusu) uymakla yükümlü kılındığı hesap verilebilirlik ilkesinden bahsedilmektedir. Bu ilkenin karşılığı Kanun nezdinde VERBİS olarak karşımıza çıkmaktadır. Her ne kadar veri sorumluları tarafından işlenen kişisel verilere yönelik bilgilendirmenin yapılarak VERBİS’e kayıt olunması, kamuoyuna karşı şeffaflık ilkesinin karşılığı olsa da, VERBİS kayıtlarının her daim veri sorumlusunun faaliyetlerini eksiksiz ve güncel yansıtamayabileceği görüşünden hareketle VERBİS’e kayıt yükümlülüğünün ortadan kalkacağı yönünde de kuvvetli bir beklenti hasıldır.
Raporu okumak için tıklayınız.