2023 Yilinda Veri Koruma Ekosisteminde Neler Oldu
Logo



28 Jan, 2024 Universal

2023 Yılında Veri Koruma Ekosisteminde Neler Oldu


2023 yılı hem ulusal hem de uluslararası alanda veri koruma, siber güvenlik ve yapay zekâ uygulamalarından çokça bahsedilen bir yıl oldu. Gelin 2023 senesinde veri koruma ve yapay zekâ uygulamalarında dikkat çekici gelişmelerden bazılarını birlikte mercek altına alalım.

  1. Ulusal 2023 yılında Kişisel Verileri Koruma Kurumu’nda neler oldu?
  • Aralık 2023 itibariyle, https://www.kvkk.gov.tr/ içerisinde 50 adet veri ihlal bildirimi yayımlanmıştır.
  • 2022 yılı içerisinde Kişisel Verileri Koruma Kurulu’nun(“Kurul”) 73 adet yeni kararı yayımlanmıştır.
  • 2 adet taahhütname başvurusu kabul edilmiştir.
  • Veri sorumlusu Otokoç Otomotiv Ticaret ve Sanayi Anonim Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kurul tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 9. maddesinin 2. fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 30.03.2023 tarihinde Kurul tarafından izin verilmiştir[1].
  • Google Reklamcılık ve Pazarlama Limited Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kurul tarafından Kanunun 9. maddesinin 2. fıkrasının (b) bendi kapsamında değerlendirilmiş ve 17.08.2023 tarihinde Kurul tarafından söz konusu veri aktarımına izin verilmiştir[2].

Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması Hakkında Kamuoyu Duyurusu yayımlanmıştır[3].

İlgili duyuruda ülkemizdeki işletmelerin ekonomik göstergeler açısından büyüdüğü, iş hacimlerinin genişlediği ve 2018 yılında esas alınan 25 milyon TL limitinin mevcut yıllık mali bilanço toplamlarına göre düşük kaldığı ifade edilerek, 2018/87 sayılı Kurul kararında yer alan yıllık mali bilanço toplamı tutarının da güncellenmesi ihtiyacının hasıl olduğu belirtilmiştir. Bu kapsamda yapılan değerlendirme sonucunda, anılan istisna limitinin 25 milyon Türk Lirasından 100 milyon Türk Lirasına çıkarılmıştır.

Bu doğrultuda Kurulun 06.07.2023 tarihli ve 2023/1154 sayılı kararı ile; yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulduğu bildirilmiştir[4].

“Mobil Uygulamalarda Mahremiyete Yönelik Tavsiyeler” Rehberi yayımlanmıştır[5].

İlgili rehberde öne çıkan başlıklar özetle aşağıdaki gibidir:

Mobil Uygulamayı kullanan bireylere yönelik mahremiyeti koruyucu tedbirler

  • Konum verisinin işlenmesinde esaslar
  • Güçlü parolanın kriterleri
  • Veri işleme faaliyetlerinin KVK ilkeleri kapsamında örneklerle değerlendirilmesi
  • Mobil Uygulamalarda çocukların verilerinin işlenmesi
  • Tüm bu süreçlerde veri güvenliği sağlamanın yolları
  • “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” yayımlanmıştır[6].

Rehber içeriğinde,

  • Özel nitelikli kişisel veri sayılan genetik verinin mevzuatta kapsamlı tanımlanmadığı ifade edilmiş, tanım için Avrupa Birliği Genel Veri Koruma Tüzüğüne atıf yapılmış,
  • Genetik verilerin işlenmesinde veri sorumlusu veri işleyenlerin kimler olabileceği örneklendirilmiş,
  • Genetik verilerin işlenmesinde dikkat edilmesi gereken ilkelere yer verilmiş,
  • Genetik verilerin işlenmesinde 6698 sayılı Kişisel Verilerin Korunması Kanununun 28. maddesindeki istisnalar değerlendirilmiş,
  • Veri sorumlusunun aydınlatma yükümlülüğünün yerine getirilmesinde dikkat edilmesi gereken hususlar açıklanmış,
  • Genetik verilerin güvenliğinin sağlanması noktasında alınması gereken teknik ve idari tedbirler sıralanmış,
  • Genetik verilerin işlenmesinin ilgili kişilerin korunması ile ulusal güvenlik ve ülkelerin ekonomik menfaatleri doğrultusunda kritik önem arz ettiği ve bu konuda birtakım ulusal tedbirlerin alınmasının elzem olduğu ifade edilerek tavsiye ve önerilerde bulunulmuştur.

Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu yayımlandı!

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yapılan değerlendirmelerde özetle aşağıdaki değerlendirmelerde bulunmuştur:

  • Mağazada alışverişi müteakip kasa işlemleri esnasında kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
  • Mağazalardaki ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
  • Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
  • Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
  • Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin alışverişin tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi taktirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceğinden söz konusu uygulamaların Kanun’a uygun gerçekleştirilmesi,
  • Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi; böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilmesi

gerekmektedir[7].

Kişisel Verileri Koruma Kurumu (“KVKK”), TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına karar verdi.

KVKK internet ve sosyal medya platformlarında TikTok uygulaması ile ilgili olarak yaptığı inceleme neticesinde,

  • TikTok’un hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği, ayrıca kullanıcılara ilişkin risklerin belirlenerek risklerin azaltılmasına dair yeterli tedbirlerin alınmadığı,
  • 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu,
  • Hizmet Koşulları kısmında onay alınırken ilgili metnin henüz Türkçe’ye tercüme edilmediği, bu sebeple kullanıcılara içeriğin kolay anlaşılır bir biçimde sunulmadığı, açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı,
  • çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı sebepleriyle
    • idari para cezası uygulanmasına karar vermiştir[8].
  1. Uluslararası
  • Avrupa Komisyonu yeni siber güvenlik kurallarını içerir NIS2 Direktifini yayımladı[9].

Ağ ve Bilgi Güvenliği (The Network and Information Security-“NIS”) Direktifi, Avrupa Birliği (“AB”) çapında siber güvenlikle ilgili ilk mevzuat olma özelliğine sahip olmakla; temel amacının Üye Devletler arasında yüksek düzeyde ortak bir siber güvenliği sağlamak olduğu bilinmektedir.

2023 başında Parlamento tarafından yayımlanan bildiride NIS Direktifinin Üye Devletlerin siber güvenlik kapasitelerini artırmış olsa da, dijitalleşme ve siber saldırılardaki artışla birlikte artan tehditlere yanıt vermek üzere, NIS Direktifini değiştirmek ve böylece güvenlik gerekliliklerini güçlendirmek, daha sıkı denetim tedbirleri ve daha katı uygulama gereklilikleri getirmek uzun vadede Avrupa'da siber güvenlik düzeyinin arttırılmasına yardımcı olmak amacıyla NIS2 Direktifi gündeme gelmiştir.

NIS2 Direktifinde dikkat çekici hususlar listelenmektedir:

  • Orta ve büyük ölçekli kuruluşlar Direktifin kapsamında dahil edilmiş, belirlenen güvenlik kurallarına uymaları zorunlu hale getirilmiş,
  • Tedarik zinciri güvenliği, şifreleme ve güvenlik açığı ifşası gibi olaylardan etkilenen şirketlere haberdar olunması ile birlikte ilk 24 saat içinde ilk rapor, 1 ay içinde ise final rapor sunma zorunluluğu getirilmiş,
  • Direktifte sayılan önlemleri almayan Şirketlere yönelik 10 milyon Euro’ya yakın veya dünya çapındaki cirosunun %2’si veya daha yüksek oranda idari para cezasının uygulanacağı düzenlenmiştir.

Gelinen bu noktada NIS2 Direktifi 16 Ocak 2023 tarihinde yürürlüğe girmiş olup, Üye Devletlerin 17 Ekim 2024 tarihine kadar 21 aylık bir süre içerisinde anlaşmanın tedbirlerini ulusal hukuklarına aktarmaları gerekmektedir.

  • Twitter, güvenlik politikasında güncelleştirmeye gitti.

Sosyal medya platformu Twitter, “sözlü şiddete karşı sıfır tolerans” politikasını başlattığını, şiddet içerikli, tehditkâr, şiddeti övme ya da kışkırtılmasını tamamen yasakladı.

Twitter, hesabı geçici ya da kalıcı olarak askıya almadan önce işlemleri inceleyeceğini, hiciv ve sanatsal ifadelerin yer aldığı hesaplara müdahale etmeyeceğini fakat kuralların ihlal edilmesi halinde ilgili hesapları askıya alacağını, ihlalin tekrarı halinde hesabı doğrudan kapatacağını bildirdi.

  • ChatGPT hakkında soruşturma talebi[10]!

Reuters'da yayımlanan habere göre, İspanya'nın veri koruma otoritesi Agencia Española de Protección de Datos (“AEPD”), Avrupa Veri Koruma Kurulu'nu OpenAI şirketine ait ChatGPT'yi AB Genel Veri Koruma Tüzüğüne (“GDPR”) uygunluğunu resmi olarak incelemeye çağırdı. Bir AEPD sözcüsü tarafından, konunun "GDPR'ın uygulaması çerçevesinde uyumlaştırılmış eylemlerin uygulanabilmesi" amacıyla gündeme getirildiğini ifade edilmiştir.

Ek olarak habere içeriğinde, OpenAI’ın ChatGPT hakkında yapılan hata bildirimleri için 20.000 ABD Dolarına kadar ödeme yaptığı bildirilmektedir.

  • Kişisel Veri Koruma Kurallarını ihlal ettiği gerekçesiyle ChatGPT İtalyada bloke edildi.

BBC’nin haberine göre İtalyan veri koruma otoritesi (“Veri Koruma Otoritesi) tarafından, İtalyan kullanıcıların verilerinin toplanması ile ilgili kuralları ihlal ettiği gerekçesiyle, ChatGPT’ye bloke kararı verdi. Kullanıcıların verilerinin işlenmesinin durdurulması yönünde de talimat veren veri koruma otoritesi, kullanıcının yaşını belirleyen bir sistem olmaması sebebiyle de çocukların gelişimi ve farkındalığı ile uygun düşmeyen yanıtlara maruz kalınabileceğini yönünde uyarıda bulunmuştur.

Bu kararın 20 Maart tarihinde yaşanan bir veri kaybı sonucunda ortaya çıktığı aktarılmaktadır. Veri koruma otoritesi, OpenAI şirketine talep edilen önlemleri alması için 20 gün süre verdiğini, talimatlara uyulmaması halinde şirkete 20 milyon Euro’ya ya da yıllık küresel cirosunun yüzde 4’üne kadar ceza verilebileceği ifade etmiştir[11].

  • Tesla araçlarında video skandalı![12]

Reuters tarafından yapılan bir araştırmaya göre, eski Tesla çalışanlarının şirket içi mesajlaşma sisteminde "müşterilerin araç kameraları tarafından kaydedilen son derece müdahaleci video ve görüntüleri" dolaşıma soktukları iddia ediliyor. Haber içeriğinde, "kayıtların Tesla müşterilerini utanç verici durumlarda yakaladığını" ve 2019-2022 yılları arasında çalışanlar arasında paylaşıldığını iddia eden dokuz eski çalışanla röportajlar yer almaktadır. Tesla'nın gizlilik bildiriminde "kamera kayıtlarının anonim kaldığı ve kişi ya da araç ile bağlantılı olmadığı" belirtilse dahi birden fazla çalışan Tesla'nın videoların nerede çekildiğini bulabilecek bir programa sahip olduğunu ifade etmektedir.

  • Fransa Veri Koruma Otoritesi’nden coğrafi konum verilerinin toplanması nedeniyle kiralık scooter şirketine büyük ceza[13]!

Fransa Veri Koruma Otoritesi (“CNIL”) tarafından araçların coğrafi konum verilerini topladığı ve kaydını tuttuğu için kiralık scooter şirketi Cityscoot'a 125.000 Euro para cezasına hükmedildi. 

CNIL, Cityscoot'un AB Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki veri minimizasyonu ve sözleşmeden doğan çerçeve yükümlülüklerine uymadığını ve ayrıca kullanıcıları bilgilendirmemek ve verilere erişim için onay almamakla Fransız Veri Koruma Yasasını ihlal ettiğini ifade etmektedir.

  • Danimarka Veri Koruma Otoritesi CCTV kameralarının kullanımına ilişkin kılavuz yayımladı[14]!

Danimarka Veri Koruma Otoritesi (“Datatilsynet”) 27 Haziran 2023 tarihinde CCTV kameraların kullanımına dair yayımlamış olduğu kılavuzla, şirketlerin CCTV kullanımı hakkında dikkat etmeleri gereken hususlara, bir davranışın ne zaman CCTV gözetimi anlamına geldiği, CCTV aracılığıyla izlenen kişilere bilgi verme yükümlülüklerinin şirketler tarafından nasıl yerine getirilebileceği, CCTV kayıtlarının saklanması ve ifşa edilmesinde dikkat edilmesi gereken kuralların neler olduğu gibi pek çok önemli detaya yer verilmiştir.

  • Birleşik Krallık Veri Koruma Otoritesi (“ICO”), çerez bannerlarının Birleşik Krallık Genel Veri Koruma Yönetmeliği ve Gizlilik ve Elektronik İletişim Yönetmelikleri ile uyumlu olmayabileceği gerekçesiyle Birleşik Krallık'ın en çok ziyaret edilen ilk 100 web sitesine bildiri gönderdi[15]!

Bilgi Komiserliği tarafından gönderilen yazıda, şirketlerin hatalarını nasıl giderebilecekleri ayrıntılı bir şekilde açıklanırken, diğer web sitelerinin de uyumlaşması adına ilgili bildirinin kamuoyu ile paylaşıldığı ifade edildi.

  • Hollanda Veri Koruma Otoritesi the Autoriteit Persoonsgegevens (“AP”), üretken yapay zekâ riskini yönetmek için daha fazla gözetim ve kapsamlı bir plan çağrısında bulundu[16]!

AP, daha fazla insan kontrolü sağlamak ve yapay zekanın yaşamları nasıl etkileyebileceğine dair günlük bilgiyi artırmak için 2030 yılına kadar tam bir yapay zekâ planı sunmayı önerdi.

  • İsveç'in veri koruma otoritesi Integritetsskyddsmyndigheten (“IMY”), şeffaflıkla ilgili AB Genel Veri Koruma Tüzüğü ihlalleri iddiası nedeniyle Spotify'a 58 milyon İsveç Kronu (yaklaşık 5,4 milyon Euro) para cezası verdi[17]!

IMY, Spotify'ın veri erişim taleplerine yanıt verdiğini ancak "bu verilerin şirket tarafından nasıl kullanıldığı konusunda yeterince açık bilgi vermediğini" tespit ederek; Spotify'ın veri uygulamalarını açıklarken "daha spesifik" olması ve "verilerine erişim talep eden kişinin şirketin bu verileri nasıl kullandığını anlamasını kolaylaştırması" gerektiğini ekledi

  • Birleşik Krallık Veri Koruma Otoritesi (“ICO”), çalışanların veri koruma kurallarına uyumlu şekilde yasal, şeffaf ve adil bir şekilde izlenmesine yönelik işverenlere yardımcı olacak bir kılavuz yayımladı[18].

ICO tarafından yaptırılan araştırmaya göre, halkın %70'inin bir işveren tarafından izlenmeyi müdahaleci bulduğunu ortaya koyan Otorite, her türlü izlemenin, veri koruma yasasıyla tamamen uyumlu olması gerektiğini belirtmektedir. Kılavuz, işverenlerin çalışanlarıyla güven tesis etmelerine ve onların mahremiyet haklarına saygı göstermelerine yardımcı olacak iyi uygulama tavsiyeleri de içermektedir.

  • Veri Yasası (Data Act) 27.11.2023 tarihinde Avrupa Konseyi tarafından kabul edildi[19].

Yapılan duyuruda, Konsey tarafından yapılan resmi kabulün ardından yeni yasanın ilerleyen haftalarda AB'nin resmi gazetesinde yayınlanacağı ve bu yayından sonraki yirminci gün yürürlüğe gireceği ifade edilmektedir.

Veri Yasası, tüm ekonomik sektörlerde AB'de üretilen verilere kimlerin erişebileceği ve kullanabileceği konusunda yeni kurallar getirmektedir.

Yasanın amacı özetle aşağıdaki şekilde belirlenmiştir:

  • Dijital ortamdaki aktörler arasında verilerden elde edilen değerin tahsisinde adaletin sağlanması
  • Rekabetçi bir veri pazarını teşvik etmek
  • Veri odaklı inovasyon için fırsatlar yaratmak ve
  • Verileri herkes için daha erişilebilir hale getirmek

İlgili mevzuat düzenlemesi ile birlikte, akıllı ev aletlerinden akıllı endüstriyel makinelere kadar, bağlantılı cihaz kullanıcılarının, bu cihazların kullanımıyla elde edilen ve genellikle sadece üreticiler ve hizmet sağlayıcılar tarafından toplanan verilere erişebilmelerine olanak tanıyacağı değerlendirilmektedir.

  • Veri Yasası (Data Act), 22.12.2023 tarihli AB Resmî Gazetesi'nde yayımlandı[20].

Veri Yasası 22 Aralık 2023 tarihinde Resmi Gazete'de yayımlanmasının ardından 11 Ocak 2024 tarihinde yürürlüğe girecektir. Bazı kuralların ise daha sonra yürürlüğe gireceği bilinmekle birlikte, 12 Eylül 2025'ten itibaren kurallarının çoğu uygulanmaya başlayacaktır.

Kısa Kısa:

  • Kişisel Verileri Koruma Kurumu, 2023 yılında toplam 50 veri ihlal bildirimi yayımladı.
  • Kişisel Verileri Koruma Kurumu ile Rekabet Kurumu Arasında İş Birliği ve Bilgi Paylaşımı Protokolü İmzalandı.
  • Yapay zekâ sohbet robotu ChatGPT’nin “finans hali” BloombergGPT duyuruldu[21].
  • Microsoft yetkilileri tarafından, 2023 yılı yapay zekâ için “kritik bir dönüm noktası” olarak bildirilmiştir[22].
  • Hollanda ulusal demiryolu şirketi NS, bir veri ihlalinin 780.000'den fazla yolcuyu etkilemiş olabileceğini açıkladı[23].
  • Norveç'in veri koruma otoritesi Datatilsynet, Temmuz 2021'de yaşanan bir veri ihlalini GDPR’ın gerektirdiği 72 saatlik süre içinde bildirmediği için ABD merkezli Argon Medical Devices'a 2,5 milyon kron para cezası verdi[24].
  • Avrupa Komisyonu, X isimli sosyal medya platformunun risk yönetimi, içerik moderasyonu, karanlık modeller, reklam şeffaflığı ve araştırmacılar için veri erişimi ile bağlantılı alanlarda Dijital Hizmetler Yasasını (DSA) ihlal edip etmediğini değerlendirmek üzere resmi işlemler başlattı[25].

[1] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7546/-Taahhutname-Basvurusu-Hakkinda-Duyuru

[2] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7700/Taahhutname-Basvurusu-Hakkinda-Duyuru

[3]Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7646/Kamuoyu-Duyurusu-Veri-Sorumlulari-Siciline-Kayit-Yukumlulugune-Iliskin-Istisna-Kriterinde-Degisiklik-Yapilmasi-Hakkinda-

[4] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7646/Kamuoyu-Duyurusu-Veri-Sorumlulari-Siciline-Kayit-Yukumlulugune-Iliskin-Istisna-Kriterinde-Degisiklik-Yapilmasi-Hakkinda-.

[5]Detaylı bilgi için bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/8ba209bb-fa93-4479-84f0-dd55aac97a0f.pdf

[6]Detaylı bilgi için bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/703442e0-690c-4618-91c3-83e7583170ca.pdf.

[7] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7740/Magazalarda-Alisveris-Sirasinda-Ilgili-Kisilere-SMS-ile-Dogrulama-Kodu-Gonderilmesi-Suretiyle-Kisisel-Verilerin-Islenmesine-Iliskin-Kamuoyu-Duyurusu

[8] KVKK ilgili karar metni için bkz. https://www.kvkk.gov.tr/Icerik/7538/2023-134.

[9]İlgili Direktife ulaşmak için bkz. (ENG) https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf.

[10] Detaylı bilgi için bkz. https://iapp.org/news/a/aepd-urges-edpb-probe-into-chatgpt/.

[11] Haber içeriği için bkz. https://www.bbc.com/turkce/articles/cw0971dy8rzo.

[12]Haber içeriği için bkz. https://iapp.org/news/a/former-tesla-employees-allege-they-circulated-videos-of-customers-captured-by-their-vehicle/.

[13]İlgili duyuru için bkz. https://iapp.org/news/a/cnil-fines-rental-scooter-company-over-geolocation-data-collection/.

[14] Detaylı bilgi için bkz. https://www.dataguidance.com/news/denmark-datatilsynet-issues-guidance-use-cctv

[15] Detaylı bilgi için bkz. https://ico.org.uk/media/about-the-ico/documents/4027811/cookie-banner-concerns.pdf.

[16] Detaylı bilgi için bkz. https://www.autoriteitpersoonsgegevens.nl/actueel/ai-algoritmerisicos-nemen-toe-nationaal-deltaplan-nodig.

[17] Detaylı bilgi için bkz. https://iapp.org/news/a/swedens-dpa-issues-sek58m-gdpr-fine-to-spotify/.

[18] Detaylı bilgi için bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/10/ico-publishes-guidance-to-ensure-lawful-monitoring-in-the-workplace

[19] Detaylı bilgi için bkz. https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/?utm_source=dsms-auto&utm_medium=email&utm_campaign=Data+Act%3a+Council+adopts+new+law+on+fair+access+to+and+use+of+data.

[20] Detaylı bilgi için bkz. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202302854

[21] Detaylı bilgi için bkz. https://fintechistanbul.org/2023/04/10/yapay-zeka-sohbet-robotu-chatgptnin-finans-hali-bloomberggpt-duyuruldu/.

[22] Detaylı bilgi için bkz. https://iapp.org/news/a/2023-a-critical-inflection-point-for-ai/.

[23] Detaylı bilgi için bkz. https://iapp.org/news/a/marketing-firm-contracted-by-dutch-national-railway-breached-through-a-software-supplier/.

[24] Detaylı bilgi için bkz. https://iapp.org/news/a/norwegian-dpa-fines-medical-device-company-for-breach-notification-violation/.

[25] Detaylı bilgi için bkz. https://ec.europa.eu/commission/presscorner/detail/en/IP_23_6709.

2023 yılı hem ulusal hem de uluslararası alanda veri koruma, siber güvenlik ve yapay zekâ uygulamalarından çokça bahsedilen bir yıl oldu. Gelin 2023 senesinde veri koruma ve yapay zekâ uygulamalarında dikkat çekici gelişmelerden bazılarını birlikte mercek altına alalım.

  1. Ulusal 2023 yılında Kişisel Verileri Koruma Kurumu’nda neler oldu?
  • Aralık 2023 itibariyle, https://www.kvkk.gov.tr/ içerisinde 50 adet veri ihlal bildirimi yayımlanmıştır.
  • 2022 yılı içerisinde Kişisel Verileri Koruma Kurulu’nun(“Kurul”) 73 adet yeni kararı yayımlanmıştır.
  • 2 adet taahhütname başvurusu kabul edilmiştir.
  • Veri sorumlusu Otokoç Otomotiv Ticaret ve Sanayi Anonim Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu Kurul tarafından 6698 sayılı Kişisel Verilerin Korunması Kanununun (“Kanun”) 9. maddesinin 2. fıkrasının (b) bendi kapsamında değerlendirilmiş ve söz konusu veri aktarımına 30.03.2023 tarihinde Kurul tarafından izin verilmiştir[1].
  • Google Reklamcılık ve Pazarlama Limited Şirketi tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kurul tarafından Kanunun 9. maddesinin 2. fıkrasının (b) bendi kapsamında değerlendirilmiş ve 17.08.2023 tarihinde Kurul tarafından söz konusu veri aktarımına izin verilmiştir[2].

Veri Sorumluları Siciline Kayıt Yükümlülüğüne İlişkin İstisna Kriterinde Değişiklik Yapılması Hakkında Kamuoyu Duyurusu yayımlanmıştır[3].

İlgili duyuruda ülkemizdeki işletmelerin ekonomik göstergeler açısından büyüdüğü, iş hacimlerinin genişlediği ve 2018 yılında esas alınan 25 milyon TL limitinin mevcut yıllık mali bilanço toplamlarına göre düşük kaldığı ifade edilerek, 2018/87 sayılı Kurul kararında yer alan yıllık mali bilanço toplamı tutarının da güncellenmesi ihtiyacının hasıl olduğu belirtilmiştir. Bu kapsamda yapılan değerlendirme sonucunda, anılan istisna limitinin 25 milyon Türk Lirasından 100 milyon Türk Lirasına çıkarılmıştır.

Bu doğrultuda Kurulun 06.07.2023 tarihli ve 2023/1154 sayılı kararı ile; yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumlularından ana faaliyet konusu özel nitelikli kişisel veri işleme olmayanların Sicile kayıt yükümlülüğünden istisna tutulduğu bildirilmiştir[4].

“Mobil Uygulamalarda Mahremiyete Yönelik Tavsiyeler” Rehberi yayımlanmıştır[5].

İlgili rehberde öne çıkan başlıklar özetle aşağıdaki gibidir:

Mobil Uygulamayı kullanan bireylere yönelik mahremiyeti koruyucu tedbirler

  • Konum verisinin işlenmesinde esaslar
  • Güçlü parolanın kriterleri
  • Veri işleme faaliyetlerinin KVK ilkeleri kapsamında örneklerle değerlendirilmesi
  • Mobil Uygulamalarda çocukların verilerinin işlenmesi
  • Tüm bu süreçlerde veri güvenliği sağlamanın yolları
  • “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” yayımlanmıştır[6].

Rehber içeriğinde,

  • Özel nitelikli kişisel veri sayılan genetik verinin mevzuatta kapsamlı tanımlanmadığı ifade edilmiş, tanım için Avrupa Birliği Genel Veri Koruma Tüzüğüne atıf yapılmış,
  • Genetik verilerin işlenmesinde veri sorumlusu veri işleyenlerin kimler olabileceği örneklendirilmiş,
  • Genetik verilerin işlenmesinde dikkat edilmesi gereken ilkelere yer verilmiş,
  • Genetik verilerin işlenmesinde 6698 sayılı Kişisel Verilerin Korunması Kanununun 28. maddesindeki istisnalar değerlendirilmiş,
  • Veri sorumlusunun aydınlatma yükümlülüğünün yerine getirilmesinde dikkat edilmesi gereken hususlar açıklanmış,
  • Genetik verilerin güvenliğinin sağlanması noktasında alınması gereken teknik ve idari tedbirler sıralanmış,
  • Genetik verilerin işlenmesinin ilgili kişilerin korunması ile ulusal güvenlik ve ülkelerin ekonomik menfaatleri doğrultusunda kritik önem arz ettiği ve bu konuda birtakım ulusal tedbirlerin alınmasının elzem olduğu ifade edilerek tavsiye ve önerilerde bulunulmuştur.

Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu yayımlandı!

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yapılan değerlendirmelerde özetle aşağıdaki değerlendirmelerde bulunmuştur:

  • Mağazada alışverişi müteakip kasa işlemleri esnasında kişilerin telefonuna gönderilecek olan SMS’in amacının ne olduğu ve bu SMS ile iletilen kodun verilmesi halinde ne gibi sonuçlar doğuracağı hususunun, katmanlı aydınlatmanın bir gereği olarak ilk aşamada veri sorumlusunun mağazalarda yetkilendirdiği kişiler tarafından ilgili kişilere açık ve anlaşılır bir biçimde aktarılması, ayrıca aydınlatma yükümlülüğünün yerine getirilebilmesi amacıyla söz konusu SMS içeriklerinde de gerekli bilgilendirme kanallarının sağlanması,
  • Mağazalardaki ödeme işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderilerek üyelik sözleşmesinin onaylanması, kişisel verileri işleme izni alınması, ticari elektronik ileti onayı alınması vb. birbirinden farklı işleme faaliyetlerinin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi, açık rıza ile gerçekleştirilmesi gereken işleme faaliyetlerine yönelik seçenek sunulmak suretiyle ayrı ayrı açık rıza alınması,
  • Bunun yanı sıra, veri sorumlularınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesi işlemlerinin ayrı ayrı gerçekleştirilmesi,
  • Ticari elektronik ileti gönderimi için açık rıza alınmasını teminen SMS doğrulama kodu gönderilmesine yönelik bir uygulamaya gidilmesi halinde ise söz konusu işlemde alınacak açık rızanın Kanun’da belirtilen tüm unsurları kapsaması,
  • Ticari ileti gönderilmesi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin alışverişin tamamlanabilmesi için zorunlu bir unsur şeklinde ilgili kişilere sunulmaması, aksi taktirde söz konusu uygulamanın açık rızanın unsurlarından olan “bilgilendirmeye dayanma ve özgür iradeyle açıklanma” unsurlarının zedelenmesine sebep olabileceğinden söz konusu uygulamaların Kanun’a uygun gerçekleştirilmesi,
  • Bu kapsamda ticari elektronik ileti gönderilmesi amacıyla kişisel verilerin işlenmesine yönelik açık rızanın, alışverişin tamamlanmasından sonra talep edilmesi; böylece ticari elektronik ileti iznine yönelik açık rızanın alışverişin gerekli bir unsuru gibi algılanmasının önüne geçilmesi

gerekmektedir[7].

Kişisel Verileri Koruma Kurumu (“KVKK”), TikTok hakkında 1.750.000 TL idari para cezası uygulanmasına karar verdi.

KVKK internet ve sosyal medya platformlarında TikTok uygulaması ile ilgili olarak yaptığı inceleme neticesinde,

  • TikTok’un hassas yaş grubunda olan kullanıcıların verilerine erişilmesi kapsamında risk teşkil ettiği, ayrıca kullanıcılara ilişkin risklerin belirlenerek risklerin azaltılmasına dair yeterli tedbirlerin alınmadığı,
  • 13 yaş altı çocukların kişisel bilgilerinin görüntülendiği ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplandığı, dolayısıyla uygulamayı kullanmış olan çocuklar üzerinde olumsuz sonuç doğma riskinin bulunduğu,
  • Hizmet Koşulları kısmında onay alınırken ilgili metnin henüz Türkçe’ye tercüme edilmediği, bu sebeple kullanıcılara içeriğin kolay anlaşılır bir biçimde sunulmadığı, açık rızanın aydınlatma yükümlülüğünden ayrı olarak yerine getirilmesi şartının sağlanmadığı,
  • çerezler kullanılarak gerçekleştirilen kişisel veri işleme faaliyetine ilişkin olarak ilgili kişilerden açık rıza alınmadığı sebepleriyle
    • idari para cezası uygulanmasına karar vermiştir[8].
  1. Uluslararası
  • Avrupa Komisyonu yeni siber güvenlik kurallarını içerir NIS2 Direktifini yayımladı[9].

Ağ ve Bilgi Güvenliği (The Network and Information Security-“NIS”) Direktifi, Avrupa Birliği (“AB”) çapında siber güvenlikle ilgili ilk mevzuat olma özelliğine sahip olmakla; temel amacının Üye Devletler arasında yüksek düzeyde ortak bir siber güvenliği sağlamak olduğu bilinmektedir.

2023 başında Parlamento tarafından yayımlanan bildiride NIS Direktifinin Üye Devletlerin siber güvenlik kapasitelerini artırmış olsa da, dijitalleşme ve siber saldırılardaki artışla birlikte artan tehditlere yanıt vermek üzere, NIS Direktifini değiştirmek ve böylece güvenlik gerekliliklerini güçlendirmek, daha sıkı denetim tedbirleri ve daha katı uygulama gereklilikleri getirmek uzun vadede Avrupa'da siber güvenlik düzeyinin arttırılmasına yardımcı olmak amacıyla NIS2 Direktifi gündeme gelmiştir.

NIS2 Direktifinde dikkat çekici hususlar listelenmektedir:

  • Orta ve büyük ölçekli kuruluşlar Direktifin kapsamında dahil edilmiş, belirlenen güvenlik kurallarına uymaları zorunlu hale getirilmiş,
  • Tedarik zinciri güvenliği, şifreleme ve güvenlik açığı ifşası gibi olaylardan etkilenen şirketlere haberdar olunması ile birlikte ilk 24 saat içinde ilk rapor, 1 ay içinde ise final rapor sunma zorunluluğu getirilmiş,
  • Direktifte sayılan önlemleri almayan Şirketlere yönelik 10 milyon Euro’ya yakın veya dünya çapındaki cirosunun %2’si veya daha yüksek oranda idari para cezasının uygulanacağı düzenlenmiştir.

Gelinen bu noktada NIS2 Direktifi 16 Ocak 2023 tarihinde yürürlüğe girmiş olup, Üye Devletlerin 17 Ekim 2024 tarihine kadar 21 aylık bir süre içerisinde anlaşmanın tedbirlerini ulusal hukuklarına aktarmaları gerekmektedir.

  • Twitter, güvenlik politikasında güncelleştirmeye gitti.

Sosyal medya platformu Twitter, “sözlü şiddete karşı sıfır tolerans” politikasını başlattığını, şiddet içerikli, tehditkâr, şiddeti övme ya da kışkırtılmasını tamamen yasakladı.

Twitter, hesabı geçici ya da kalıcı olarak askıya almadan önce işlemleri inceleyeceğini, hiciv ve sanatsal ifadelerin yer aldığı hesaplara müdahale etmeyeceğini fakat kuralların ihlal edilmesi halinde ilgili hesapları askıya alacağını, ihlalin tekrarı halinde hesabı doğrudan kapatacağını bildirdi.

  • ChatGPT hakkında soruşturma talebi[10]!

Reuters'da yayımlanan habere göre, İspanya'nın veri koruma otoritesi Agencia Española de Protección de Datos (“AEPD”), Avrupa Veri Koruma Kurulu'nu OpenAI şirketine ait ChatGPT'yi AB Genel Veri Koruma Tüzüğüne (“GDPR”) uygunluğunu resmi olarak incelemeye çağırdı. Bir AEPD sözcüsü tarafından, konunun "GDPR'ın uygulaması çerçevesinde uyumlaştırılmış eylemlerin uygulanabilmesi" amacıyla gündeme getirildiğini ifade edilmiştir.

Ek olarak habere içeriğinde, OpenAI’ın ChatGPT hakkında yapılan hata bildirimleri için 20.000 ABD Dolarına kadar ödeme yaptığı bildirilmektedir.

  • Kişisel Veri Koruma Kurallarını ihlal ettiği gerekçesiyle ChatGPT İtalyada bloke edildi.

BBC’nin haberine göre İtalyan veri koruma otoritesi (“Veri Koruma Otoritesi) tarafından, İtalyan kullanıcıların verilerinin toplanması ile ilgili kuralları ihlal ettiği gerekçesiyle, ChatGPT’ye bloke kararı verdi. Kullanıcıların verilerinin işlenmesinin durdurulması yönünde de talimat veren veri koruma otoritesi, kullanıcının yaşını belirleyen bir sistem olmaması sebebiyle de çocukların gelişimi ve farkındalığı ile uygun düşmeyen yanıtlara maruz kalınabileceğini yönünde uyarıda bulunmuştur.

Bu kararın 20 Maart tarihinde yaşanan bir veri kaybı sonucunda ortaya çıktığı aktarılmaktadır. Veri koruma otoritesi, OpenAI şirketine talep edilen önlemleri alması için 20 gün süre verdiğini, talimatlara uyulmaması halinde şirkete 20 milyon Euro’ya ya da yıllık küresel cirosunun yüzde 4’üne kadar ceza verilebileceği ifade etmiştir[11].

  • Tesla araçlarında video skandalı![12]

Reuters tarafından yapılan bir araştırmaya göre, eski Tesla çalışanlarının şirket içi mesajlaşma sisteminde "müşterilerin araç kameraları tarafından kaydedilen son derece müdahaleci video ve görüntüleri" dolaşıma soktukları iddia ediliyor. Haber içeriğinde, "kayıtların Tesla müşterilerini utanç verici durumlarda yakaladığını" ve 2019-2022 yılları arasında çalışanlar arasında paylaşıldığını iddia eden dokuz eski çalışanla röportajlar yer almaktadır. Tesla'nın gizlilik bildiriminde "kamera kayıtlarının anonim kaldığı ve kişi ya da araç ile bağlantılı olmadığı" belirtilse dahi birden fazla çalışan Tesla'nın videoların nerede çekildiğini bulabilecek bir programa sahip olduğunu ifade etmektedir.

  • Fransa Veri Koruma Otoritesi’nden coğrafi konum verilerinin toplanması nedeniyle kiralık scooter şirketine büyük ceza[13]!

Fransa Veri Koruma Otoritesi (“CNIL”) tarafından araçların coğrafi konum verilerini topladığı ve kaydını tuttuğu için kiralık scooter şirketi Cityscoot'a 125.000 Euro para cezasına hükmedildi. 

CNIL, Cityscoot'un AB Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki veri minimizasyonu ve sözleşmeden doğan çerçeve yükümlülüklerine uymadığını ve ayrıca kullanıcıları bilgilendirmemek ve verilere erişim için onay almamakla Fransız Veri Koruma Yasasını ihlal ettiğini ifade etmektedir.

  • Danimarka Veri Koruma Otoritesi CCTV kameralarının kullanımına ilişkin kılavuz yayımladı[14]!

Danimarka Veri Koruma Otoritesi (“Datatilsynet”) 27 Haziran 2023 tarihinde CCTV kameraların kullanımına dair yayımlamış olduğu kılavuzla, şirketlerin CCTV kullanımı hakkında dikkat etmeleri gereken hususlara, bir davranışın ne zaman CCTV gözetimi anlamına geldiği, CCTV aracılığıyla izlenen kişilere bilgi verme yükümlülüklerinin şirketler tarafından nasıl yerine getirilebileceği, CCTV kayıtlarının saklanması ve ifşa edilmesinde dikkat edilmesi gereken kuralların neler olduğu gibi pek çok önemli detaya yer verilmiştir.

  • Birleşik Krallık Veri Koruma Otoritesi (“ICO”), çerez bannerlarının Birleşik Krallık Genel Veri Koruma Yönetmeliği ve Gizlilik ve Elektronik İletişim Yönetmelikleri ile uyumlu olmayabileceği gerekçesiyle Birleşik Krallık'ın en çok ziyaret edilen ilk 100 web sitesine bildiri gönderdi[15]!

Bilgi Komiserliği tarafından gönderilen yazıda, şirketlerin hatalarını nasıl giderebilecekleri ayrıntılı bir şekilde açıklanırken, diğer web sitelerinin de uyumlaşması adına ilgili bildirinin kamuoyu ile paylaşıldığı ifade edildi.

  • Hollanda Veri Koruma Otoritesi the Autoriteit Persoonsgegevens (“AP”), üretken yapay zekâ riskini yönetmek için daha fazla gözetim ve kapsamlı bir plan çağrısında bulundu[16]!

AP, daha fazla insan kontrolü sağlamak ve yapay zekanın yaşamları nasıl etkileyebileceğine dair günlük bilgiyi artırmak için 2030 yılına kadar tam bir yapay zekâ planı sunmayı önerdi.

  • İsveç'in veri koruma otoritesi Integritetsskyddsmyndigheten (“IMY”), şeffaflıkla ilgili AB Genel Veri Koruma Tüzüğü ihlalleri iddiası nedeniyle Spotify'a 58 milyon İsveç Kronu (yaklaşık 5,4 milyon Euro) para cezası verdi[17]!

IMY, Spotify'ın veri erişim taleplerine yanıt verdiğini ancak "bu verilerin şirket tarafından nasıl kullanıldığı konusunda yeterince açık bilgi vermediğini" tespit ederek; Spotify'ın veri uygulamalarını açıklarken "daha spesifik" olması ve "verilerine erişim talep eden kişinin şirketin bu verileri nasıl kullandığını anlamasını kolaylaştırması" gerektiğini ekledi

  • Birleşik Krallık Veri Koruma Otoritesi (“ICO”), çalışanların veri koruma kurallarına uyumlu şekilde yasal, şeffaf ve adil bir şekilde izlenmesine yönelik işverenlere yardımcı olacak bir kılavuz yayımladı[18].

ICO tarafından yaptırılan araştırmaya göre, halkın %70'inin bir işveren tarafından izlenmeyi müdahaleci bulduğunu ortaya koyan Otorite, her türlü izlemenin, veri koruma yasasıyla tamamen uyumlu olması gerektiğini belirtmektedir. Kılavuz, işverenlerin çalışanlarıyla güven tesis etmelerine ve onların mahremiyet haklarına saygı göstermelerine yardımcı olacak iyi uygulama tavsiyeleri de içermektedir.

  • Veri Yasası (Data Act) 27.11.2023 tarihinde Avrupa Konseyi tarafından kabul edildi[19].

Yapılan duyuruda, Konsey tarafından yapılan resmi kabulün ardından yeni yasanın ilerleyen haftalarda AB'nin resmi gazetesinde yayınlanacağı ve bu yayından sonraki yirminci gün yürürlüğe gireceği ifade edilmektedir.

Veri Yasası, tüm ekonomik sektörlerde AB'de üretilen verilere kimlerin erişebileceği ve kullanabileceği konusunda yeni kurallar getirmektedir.

Yasanın amacı özetle aşağıdaki şekilde belirlenmiştir:

  • Dijital ortamdaki aktörler arasında verilerden elde edilen değerin tahsisinde adaletin sağlanması
  • Rekabetçi bir veri pazarını teşvik etmek
  • Veri odaklı inovasyon için fırsatlar yaratmak ve
  • Verileri herkes için daha erişilebilir hale getirmek

İlgili mevzuat düzenlemesi ile birlikte, akıllı ev aletlerinden akıllı endüstriyel makinelere kadar, bağlantılı cihaz kullanıcılarının, bu cihazların kullanımıyla elde edilen ve genellikle sadece üreticiler ve hizmet sağlayıcılar tarafından toplanan verilere erişebilmelerine olanak tanıyacağı değerlendirilmektedir.

  • Veri Yasası (Data Act), 22.12.2023 tarihli AB Resmî Gazetesi'nde yayımlandı[20].

Veri Yasası 22 Aralık 2023 tarihinde Resmi Gazete'de yayımlanmasının ardından 11 Ocak 2024 tarihinde yürürlüğe girecektir. Bazı kuralların ise daha sonra yürürlüğe gireceği bilinmekle birlikte, 12 Eylül 2025'ten itibaren kurallarının çoğu uygulanmaya başlayacaktır.

Kısa Kısa:

  • Kişisel Verileri Koruma Kurumu, 2023 yılında toplam 50 veri ihlal bildirimi yayımladı.
  • Kişisel Verileri Koruma Kurumu ile Rekabet Kurumu Arasında İş Birliği ve Bilgi Paylaşımı Protokolü İmzalandı.
  • Yapay zekâ sohbet robotu ChatGPT’nin “finans hali” BloombergGPT duyuruldu[21].
  • Microsoft yetkilileri tarafından, 2023 yılı yapay zekâ için “kritik bir dönüm noktası” olarak bildirilmiştir[22].
  • Hollanda ulusal demiryolu şirketi NS, bir veri ihlalinin 780.000'den fazla yolcuyu etkilemiş olabileceğini açıkladı[23].
  • Norveç'in veri koruma otoritesi Datatilsynet, Temmuz 2021'de yaşanan bir veri ihlalini GDPR’ın gerektirdiği 72 saatlik süre içinde bildirmediği için ABD merkezli Argon Medical Devices'a 2,5 milyon kron para cezası verdi[24].
  • Avrupa Komisyonu, X isimli sosyal medya platformunun risk yönetimi, içerik moderasyonu, karanlık modeller, reklam şeffaflığı ve araştırmacılar için veri erişimi ile bağlantılı alanlarda Dijital Hizmetler Yasasını (DSA) ihlal edip etmediğini değerlendirmek üzere resmi işlemler başlattı[25].

[1] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7546/-Taahhutname-Basvurusu-Hakkinda-Duyuru

[2] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7700/Taahhutname-Basvurusu-Hakkinda-Duyuru

[3]Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7646/Kamuoyu-Duyurusu-Veri-Sorumlulari-Siciline-Kayit-Yukumlulugune-Iliskin-Istisna-Kriterinde-Degisiklik-Yapilmasi-Hakkinda-

[4] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7646/Kamuoyu-Duyurusu-Veri-Sorumlulari-Siciline-Kayit-Yukumlulugune-Iliskin-Istisna-Kriterinde-Degisiklik-Yapilmasi-Hakkinda-.

[5]Detaylı bilgi için bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/8ba209bb-fa93-4479-84f0-dd55aac97a0f.pdf

[6]Detaylı bilgi için bkz. https://kvkk.gov.tr/SharedFolderServer/CMSFiles/703442e0-690c-4618-91c3-83e7583170ca.pdf.

[7] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7740/Magazalarda-Alisveris-Sirasinda-Ilgili-Kisilere-SMS-ile-Dogrulama-Kodu-Gonderilmesi-Suretiyle-Kisisel-Verilerin-Islenmesine-Iliskin-Kamuoyu-Duyurusu

[8] KVKK ilgili karar metni için bkz. https://www.kvkk.gov.tr/Icerik/7538/2023-134.

[9]İlgili Direktife ulaşmak için bkz. (ENG) https://www.europarl.europa.eu/RegData/etudes/BRIE/2021/689333/EPRS_BRI(2021)689333_EN.pdf.

[10] Detaylı bilgi için bkz. https://iapp.org/news/a/aepd-urges-edpb-probe-into-chatgpt/.

[11] Haber içeriği için bkz. https://www.bbc.com/turkce/articles/cw0971dy8rzo.

[12]Haber içeriği için bkz. https://iapp.org/news/a/former-tesla-employees-allege-they-circulated-videos-of-customers-captured-by-their-vehicle/.

[13]İlgili duyuru için bkz. https://iapp.org/news/a/cnil-fines-rental-scooter-company-over-geolocation-data-collection/.

[14] Detaylı bilgi için bkz. https://www.dataguidance.com/news/denmark-datatilsynet-issues-guidance-use-cctv

[15] Detaylı bilgi için bkz. https://ico.org.uk/media/about-the-ico/documents/4027811/cookie-banner-concerns.pdf.

[16] Detaylı bilgi için bkz. https://www.autoriteitpersoonsgegevens.nl/actueel/ai-algoritmerisicos-nemen-toe-nationaal-deltaplan-nodig.

[17] Detaylı bilgi için bkz. https://iapp.org/news/a/swedens-dpa-issues-sek58m-gdpr-fine-to-spotify/.

[18] Detaylı bilgi için bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/10/ico-publishes-guidance-to-ensure-lawful-monitoring-in-the-workplace

[19] Detaylı bilgi için bkz. https://www.consilium.europa.eu/en/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/?utm_source=dsms-auto&utm_medium=email&utm_campaign=Data+Act%3a+Council+adopts+new+law+on+fair+access+to+and+use+of+data.

[20] Detaylı bilgi için bkz. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202302854

[21] Detaylı bilgi için bkz. https://fintechistanbul.org/2023/04/10/yapay-zeka-sohbet-robotu-chatgptnin-finans-hali-bloomberggpt-duyuruldu/.

[22] Detaylı bilgi için bkz. https://iapp.org/news/a/2023-a-critical-inflection-point-for-ai/.

[23] Detaylı bilgi için bkz. https://iapp.org/news/a/marketing-firm-contracted-by-dutch-national-railway-breached-through-a-software-supplier/.

[24] Detaylı bilgi için bkz. https://iapp.org/news/a/norwegian-dpa-fines-medical-device-company-for-breach-notification-violation/.

[25] Detaylı bilgi için bkz. https://ec.europa.eu/commission/presscorner/detail/en/IP_23_6709.

Abone Ol Paylaşılan bloglardan haberdar olmak için abone olabilirsiniz
E-Bülten aydınlatma metni için tıklayınız