KVKK Kasım Gündemi: “Türkiye ve Dünyadan Öne Çıkan Konular”

Kişisel Verileri Koruma Kurumu’ndan ChatGPT ve Sohbet Robotları Hakkında Bilgilendirme

Kişisel Verileri Koruma Kurumu (KVKK), Kasım 2024 itibarıyla “Sohbet Robotları ChatGPT Örneği Hakkında Bilgi Notu” başlıklı bir içerik yayımladı. Bu bilgi notu, yapay zeka tabanlı sohbet robotlarının kişisel verilerle nasıl etkileşim kurduğu konusunda farkındalık yaratmayı ve uygulama geliştiriciler ile kullanıcıları bilinçlendirmeyi amaçlamaktadır.

 

Sohbet Robotları ve ChatGPT Nedir?

Sohbet robotları (chatbots), yapay zeka destekli algoritmalar ile çalışan, doğal dil işleme (NLP) teknolojisi sayesinde kullanıcılarla yazılı veya sözlü olarak iletişim kurabilen dijital araçlardır. Bu robotlar, müşteri hizmetlerinden eğitime, sağlık sektöründen e-ticarete kadar birçok alanda kullanılmaktadır.

ChatGPT, OpenAI tarafından geliştirilen ve en çok bilinen yapay zeka sohbet robotlarından biridir. Kullanıcıların sorularını yanıtlamak, metin yazmak, veri analizi yapmak ve önerilerde bulunmak gibi çeşitli işlevleri yerine getirebilir. Ancak bu tür robotlar, büyük miktarda veri ile çalıştığı için kişisel verilerin korunması konusunda hassasiyet gerektirmektedir.

 

KVKK’nın Bilgi Notunda Ele Alınan Konular

KVKK’nın yayımladığı bilgi notunda, yapay zeka sohbet robotlarıyla ilgili şu başlıklara dikkat çekilmiştir:

  1. Sohbet Robotlarının Kullanım Amacı:

o   Kullanıcılarla hızlı ve etkili iletişim kurmak,

o   Veri analitiği ile müşteri davranışlarını anlamak,

o   Süreç otomasyonu ve maliyet tasarrufu sağlamak.

 

  1. Hangi Kişisel Veriler İşleniyor?

o   Sohbet sırasında kullanıcılar tarafından sağlanan açık bilgiler (ad, adres, telefon numarası gibi),

o   Cihaz ve bağlantı bilgileri,

o   Kullanıcıların sohbet geçmişleri ve yazılımsal etkileşim verileri.

 

  1. Dikkat Edilmesi Gereken Hususlar:

o   Kullanıcıların sohbet robotları ile paylaşacakları bilgiler konusunda bilgilendirilmesi,

o   Verilerin yalnızca gerekli olduğu ölçüde toplanması ve işlenmesi,

o   Verilerin güvenliğinin sağlanması ve izinsiz erişimlerin önlenmesi,

o   Sohbet robotlarının geliştirilmesi ve çalıştırılmasında KVKK ile uyumlu süreçlerin işletilmesi.

 

Sohbet Robotları ve Kişisel Veri Güvenliği

Bilgi notunda, yapay zeka sohbet robotlarının potansiyel risklerine de vurgu yapılmıştır. Bu riskler arasında, kullanıcıların farkında olmadan hassas bilgilerini paylaşmaları ve kötü amaçlı yazılımların bu bilgilere erişim sağlaması yer almaktadır. KVKK, veri sorumlularının Aydınlatma Yükümlülüğü başta olmak üzere, kişisel veri işleme süreçlerinde kanunun öngördüğü yükümlülüklere uygun hareket etmelerini tavsiye etmektedir.

 

Sonuç 

KVKK’nın bu bilgi notu, dijitalleşmenin hızla arttığı günümüzde yapay zeka tabanlı araçların doğru ve güvenli bir şekilde kullanılması gerektiğine dikkat çekmektedir.

Neler Yapılmalı?

Sohbet robotu geliştiricilerinin ve kullanıcılarının şu konulara özen göstermesi gerekmektedir:

  • Kişisel verilerin işlenmesine yönelik açık rıza alınması,
  • Sohbet robotlarının KVKK ile uyumlu bir altyapıya sahip olması,
  • Kullanıcıların bilinçlendirilmesi ve mahremiyetlerinin korunması.

 

KAYNAK: https://kvkk.gov.tr/Icerik/8047/Sohbet-Robotlari-ChatGPT-Ornegi-Hakkinda-Bilgi-Notu

………………………………………………………………………………………………………………………………………

Avrupa Komisyonu 2024 Türkiye Raporunda KVKK ve AB Uyum Süreci

Avrupa Komisyonu, 30 Ekim 2024 tarihinde yayımladığı 2024 Türkiye Raporunda, Türkiye’nin Kişisel Verilerin Korunması Kanunu’nda (KVKK) yapılan değişikliklere rağmen, kanunun hala Avrupa Birliği (AB) müktesebatı ile tam anlamıyla uyumlu olmadığını belirtti.

Raporda, özellikle 2024 Mart ayında kabul edilen 8. Yargı Reform Paketi kapsamında, özel nitelikli kişisel verilerin işlenme koşulları ve kişisel verilerin üçüncü ülkelere aktarımı ile ilgili düzenlemelere yer verildi. Ancak, bu değişikliklerin AB’nin Genel Veri Koruma Tüzüğü’ne (GDPR) tam anlamıyla uyum sağlamadığı vurgulandı.

 

2025 Cumhurbaşkanlığı Yıllık Programı ve Orta Vadeli Program’da KVKK Uyum Süreci

2025 yılı Cumhurbaşkanlığı Yıllık Programı, KVKK’nın GDPR ile uyumlaştırılmasına yönelik çalışmaların hızlandırılacağını ve bu sürecin 2025 yılı içerisinde tamamlanmasının hedeflendiğini ortaya koymaktadır. Programda, özellikle veri işleme şartları, veri güvenliği ve uluslararası veri transferine yönelik düzenlemelerin AB standartlarına uyumlu hale getirilmesi gerektiği ifade edilmiştir.

Ayrıca, T.C. Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı tarafından 5 Eylül 2024’te yayımlanan 2025-2027 Orta Vadeli Programda, bu uyum sürecinin 2025 yılının dördüncü çeyreğine kadar tamamlanmasının planlandığı belirtilmiştir. Bu kapsamda, Türkiye’nin kişisel veri koruma rejimini AB müktesebatı ile tam uyumlu hale getirme çabası, 2025 yılında önemli bir gündem maddesi olmaya devam edecektir.

 

2024 Türkiye Raporunda Dikkat Çeken Hususlar

Raporda öne çıkan değerlendirmeler şu şekildedir:

 

  1. Özel Nitelikli Kişisel Veriler:

o   8. Yargı Reform Paketi’ndeki değişikliklere rağmen, bu düzenlemelerin GDPR standartları ile uyumsuz yönleri olduğu belirtilmiştir.

 

  1. Uluslararası Veri Transferi:

o   Türkiye’de veri transfer süreçlerinde bireylerin haklarının yeterince korunmadığı ifade edilmiştir. AB’nin “yeterlilik kararı” şartlarını karşılamak için daha kapsamlı düzenlemelere ihtiyaç olduğu vurgulanmıştır.

 

  1. KVKK ve AB Müktesebatı Arasındaki Farklar:

o   KVKK’nın mevcut haliyle GDPR’nin şeffaflık, hesap verebilirlik ve veri sahibinin haklarını koruma konusundaki standartlarını karşılamadığına dikkat çekilmiştir.

 

Sonuç

KVKK’nın GDPR ve AB müktesebatı ile uyumlaştırılması süreci, Türkiye’nin AB ile ilişkileri açısından önemli bir yere sahiptir.

 

Neler Yapılmalı?

2025 yılına kadar tamamlanması planlanan bu çalışmalar, Türkiye’nin uluslararası veri koruma standartlarına uyumunu güçlendirecektir.

Bu kapsamda:

  • Veri sorumlularıve şirketler, uyum süreçlerini yakından takip ederek gerekli düzenlemelere hazırlık yapmalıdır.
  • Uluslararası veri transferi süreçlerini yöneten firmalar, uyum sürecinde özellikle bu alana odaklanmalıdır.

 

KAYNAK: https://neighbourhood-enlargement.ec.europa.eu/turkiye-report-2024_en

……………………………………………………………………………………………………………………..

Kişisel Verileri Koruma Kurumu Faaliyetlerini Sürdürüyor

Kişisel Verileri Koruma Kurumu (KVKK) Başkanı Prof. Dr. Faruk Bilir, 24 Kasım 2024 tarihinde yaptığı açıklamayla Kurumun bugüne kadar yürüttüğü faaliyetler ve elde edilen sonuçlar hakkında önemli bilgiler paylaştı.

 

KVKK’nın 2024 Yılına Dair Önemli İstatistikleri:

  • Uygulanan Para Cezaları:Yapılan incelemeler sonucunda toplam 909.302.828 TL para cezası kesildi.
  • Standart Sözleşmeler:Kuruma 1.039 standart sözleşme bildirimi yapıldı.
  • İhbar ve Şikayetler:Kuruma ulaşan 45.397 ihbar ve şikayet başvurusundan 43.727’si sonuçlandırıldı.
  • Veri İhlali Bildirimleri:1.559 veri ihlali bildirimi alındı; bu bildirimlerin 350’si Kurumun web sitesinde kamuoyuyla paylaşıldı.
  • Yurt Dışına Veri Aktarımı:Yurt dışına kişisel veri aktarımı için yapılan başvurulardan 10 taahhütname onay aldı.
  • Hukuki Görüşler:Kurum, görev alanına giren konulara ilişkin toplam 1.191 hukuki görüş sundu.

Yeni Rehber Geliyor

Kişisel verilerin yurt dışına aktarımıyla ilgili olarak Kurulun onayladığı yeni bir rehberin çok yakında yayınlanacağı açıklandı. Bu rehberin, veri aktarım süreçlerinde şirketler için yol gösterici olması bekleniyor.

 

KAYNAK: https://www.youtube.com/watch?v=HLwNns6K5X0

……………………………………………………………………………………………..

DÜNYA’DAKİ GELİŞMELER

Veri İhlallerine Karşı Bireylerin Korunması: CNIL’den Öneriler

Dijitalleşen dünyada, veri ihlalleri ve sızıntılar bireylerin mahremiyetini ve güvenliğini tehdit eden ciddi riskler arasında yer almaktadır. Fransa’nın veri koruma otoritesi CNIL (Commission Nationale de l’Informatique et des Libertés), bireylerin bu tür durumlara karşı alabileceği önlemleri içeren kapsamlı bir rehber yayımladı. Rehber, verilerinin bir ihlal veya sızıntı sırasında tehlikeye girme ihtimaliyle karşılaşan insanlara, kişisel güvenliklerini koruyabilmeleri adına pratik ve etkili öneriler sunuyor.

 

CNIL’in Önerileri: Veri Güvenliği İçin İlk Adımlar

  1. Durumun Hızlıca Değerlendirilmesi:

o   Sızıntıdan etkilenip etkilenmediğinizi doğrulamak için bildirimleri kontrol edin.

o   Hangi verilerinizin sızdırıldığını anlamaya çalışın (örneğin, e-posta, şifreler, kimlik numaraları vb.).

 

  1. Hesapların Güvence Altına Alınması:

o   Sızıntıya uğramış şifreleri hemen değiştirin.

o   Mümkünse iki faktörlü kimlik doğrulama (2FA) etkinleştirin.

 

  1. Kimlik Hırsızlığına Karşı Dikkatli Olunması:

o   Kimlik bilgilerinizi içeren belgeler (pasaport, kimlik kartı) sızdırılmışsa, yetkililerle iletişime geçin.

o   Banka hesaplarınızı izleyin ve şüpheli işlemleri rapor edin.

 

  1. Spam ve Kimlik Avına Karşı Korunma:

o   Sızıntıya uğrayan e-posta adreslerinizi veya telefon numaralarınızı spam ve kimlik avı saldırılarına karşı izleyin.

o   Bilinmeyen bağlantıları veya şüpheli e-postaları açmaktan kaçının.

 

  1. Kredi ve Banka İzleme Hizmetlerinden Yararlanma:

o   Olası dolandırıcılıklara karşı, kredi raporlama hizmetleri ve dolandırıcılık izleme araçları kullanabilirsiniz.

 

Verilerin Koruması İçin Önleyici Adımlar

CNIL, yalnızca sızıntıdan sonra alınacak tedbirleri değil, aynı zamanda proaktif güvenlik önlemlerini de vurgulamaktadır. Bunlar arasında şunlar yer almaktadır:

  • Şifrelerinizi düzenli olarak güncellemek ve güçlü şifreler kullanmak,
  • Farklı platformlarda aynı şifreyi kullanmaktan kaçınmak,
  • Hassas bilgileri paylaşmadan önce dijital ortamın güvenliğini doğrulamak,
  • Veri işleyen şirketlerin KVKK ve GDPR gibi ulusal ve uluslararası standartlara uygunluğunu kontrol etmek.

 

CNIL’nin Rehberi Neden Önemli?

CNIL’in rehberi, yalnızca bireysel veri güvenliği için değil, aynı zamanda toplumsal farkındalık açısından da kritik bir öneme sahiptir. Veri ihlalleri genellikle bireylerin mahremiyetini tehdit etmekle kalmaz, aynı zamanda ekonomik zararlar ve psikolojik etkiler de doğurabilir. CNIL, bu konuda bireylerin bilinçlenmesini sağlamak ve risklerin en aza indirgenmesine yardımcı olmak için öncü bir adım atmıştır.

 

Sonuç

Günümüz dünyasında, kişisel verilerin korunması bireysel bir sorumluluk haline gelmiştir. CNIL’in rehberi, veri ihlalleri karşısında nasıl hareket edileceği konusunda değerli bir kaynak sunmaktadır.

 

Ne Yapılmalı?

Verilerinizi korumak ve olası ihlallere hazırlıklı olmak için önerilen adımları uygulamak, siber güvenliğinizi artırmanın en etkili yollarından biridir.

 

KAYNAK: https://www.cnil.fr/fr/fuite-de-donnees-sur-internet-et-vol-de-votre-iban-comment-vous-proteger-si-vous-etes-concerne

…………………………………………………………………………………………………………………………………..

Gizliliği Artıran Teknolojilere Yönelik Yeni Bir Adım: Birleşik Krallık’tan Rehberlik Aracı

Kişisel verilerin korunması ve gizliliğin sağlanması, günümüzde şirketlerin ve kuruluşların öncelikli konuları arasında yer almaktadır. Birleşik Krallık Bilim, Yenilik ve Teknoloji Bakanlığı, bu kapsamda önemli bir adım atarak Gizliliği Artıran Teknolojiler (Privacy-Enhancing Technologies – PETs) ile ilgili farkındalığı artırmayı hedefleyen bir rehber yayımladı. Bu rehber, kuruluşların PET’leri benimsemenin maliyetlerini ve faydalarını değerlendirmelerine yardımcı olacak bir araç ve kontrol listesi içermektedir.

Bu girişim, özellikle kişisel veri koruma süreçlerini iyileştirmek ve şirketlerin KVKK, GDPR gibi düzenlemelerle uyumlu hale gelmesine destek olmak amacıyla tasarlanmıştır.

 

Gizliliği Artıran Teknolojiler (PETs) Nedir?

Gizliliği Artıran Teknolojiler (PETs), bireylerin mahremiyetini koruma ve kişisel veri işleme süreçlerini güvenli hale getirme amacı taşıyan yenilikçi çözümlerdir. Öne çıkan örnekler arasında şunlar yer alır:

  • Anonimleştirme araçları:Verileri işlenmeden önce kimlik bilgilerinden arındırır.
  • Şifreleme yöntemleri:Verilerin sadece yetkili taraflarca erişilebilir olmasını sağlar.
  • Veri minimizasyonu çözümleri:Sadece gerektiği kadar verinin işlenmesine izin verir.

 

Bu teknolojiler, hem bireylerin mahremiyetini korumayı hem de kuruluşların yasal yükümlülüklerini yerine getirmesini kolaylaştırır.

Bakanlık Tarafından Sunulan Araç ve Kontrol Listesi

 

Rehberin temel amaçları şunlardır:

  1. Faydaların ve Maliyetlerin Değerlendirilmesi:

o   PET’lerin iş süreçlerine dahil edilmesinin getireceği operasyonel faydaları ve olası maliyetleri net bir şekilde hesaplamak.

 

  1. Uygulama Yönergeleri:

o   Şirketlerin bu teknolojileri benimsemesi için takip edilecek adımları belirlemek.

 

  1. Risklerin Azaltılması:

o   Veri sızıntıları, kimlik hırsızlığı ve uyumsuzluk gibi risklerin önüne geçmek için somut önlemler sunmak.

 

Kontrol listesi, kuruluşların PET çözümlerini hayata geçirirken dikkat etmeleri gereken temel hususlara odaklanarak bir yol haritası işlevi görüyor.

 

Şirketler İçin Öneriler

PET’ler, özellikle KVKK’ya uyum sağlamak isteyen şirketler için güçlü bir çözüm sunmaktadır. Bu teknolojiler sayesinde:

  • Veri işleme süreçleri daha güvenli hale getirilebilir.
  • Kişisel verilerin korunması konusunda müşterilere güven veren bir sistem oluşturulabilir.
  • Uyumsuzluk kaynaklı idari para cezalarının önüne geçilebilir.

Sonuç

Birleşik Krallık’ın yayımladığı rehber, teknolojiyi etkin bir şekilde kullanarak veri koruma standartlarını artırmak isteyen şirketler için değerli bir kaynak sunmaktadır. PET’lerin uygulama maliyetlerini ve sağlayacağı faydaları değerlendirmek, şirketlerin KVKK ve GDPR gibi düzenlemelere uyum sağlamasında büyük bir avantaj sağlayacaktır.

 

KAYNAK: https://www.gov.uk/government/publications/privacy-enhancing-technologies-cost-benefit-awareness-tool

…………………………………………………………………………………………………………………………………………….

EDPB’den AB-ABD Veri Gizliliği Çerçevesi Hakkında Yeni Rapor: Öneriler ve Değerlendirmeler

Küresel veri transferleri, günümüz dijital dünyasında iş süreçlerinin vazgeçilmez bir parçası haline gelmiştir. Bu bağlamda, Avrupa Veri Koruma Kurulu (EDPB), AB-ABD Veri Gizliliği Çerçevesi (Data Privacy Framework – DPF)için Avrupa Komisyonu tarafından sunulan yeterlilik kararına ilişkin bir rapor kabul etti. Rapor, transatlantik veri transferlerinde bireylerin mahremiyetini korumayı amaçlayan bu çerçeveye dair önemli değerlendirmeler ve öneriler içeriyor.

 

AB-ABD Veri Gizliliği Çerçevesi Nedir?

AB-ABD Veri Gizliliği Çerçevesi, Avrupa Birliği ile Amerika Birleşik Devletleri arasındaki veri akışını düzenlemeyi ve bireylerin kişisel verilerinin korunmasını sağlamayı amaçlayan bir mekanizmadır. Bu çerçeve, önceki “Privacy Shield” mekanizmasının Schrems II kararıyla geçersiz kılınmasından sonra ortaya çıkan hukuki boşluğu doldurmayı hedeflemektedir.

 

EDPB’nin Raporunda Öne Çıkan Hususlar

  1. Veri Koruma Önlemlerinin İzlenmesi: EDPB, ABD hükümeti tarafından veri erişimi ve istihbarat ajanslarının kişisel veriler üzerinde uyguladığı koruma önlemlerinin sürekli izlenmesini önermektedir. Bu, çerçevenin etkin bir şekilde işlemesini sağlamak adına önemli bir adımdır.
  2. Düzenli İnceleme Mekanizması: Rapor, DPF’nin uygulama sürecine yönelik üç yıl içinde yapılacak bir sonraki incelemenin olumlu bir gelişme olarak değerlendirildiğini ifade etmektedir. Bu, çerçevenin etkinliğini ve veri koruma standartlarının sürdürülebilirliğini değerlendirme fırsatı sunacaktır.
  3. Uyumluluğun Güçlendirilmesi: EDPB, çerçevede yer alan mekanizmaların pratikte ne ölçüde etkili olduğunu analiz etmeye devam edeceğini belirterek, AB vatandaşlarının haklarının ihlal edilmesini önlemek için veri koruma standartlarının sıkı bir şekilde denetlenmesi gerektiğini vurgulamaktadır.

 

Şirketler için Ne Anlama Geliyor?

Bu gelişmeler, uluslararası veri transferi gerçekleştiren şirketler için kritik öneme sahiptir. Şirketlerin:

  • DPF’ye uyumlu veri transfer mekanizmalarını incelemesi,
  • AB ve ABD arasındaki veri koruma standartlarını takip etmesi,
  • Veri koruma süreçlerinde şeffaflığı artırması, gerekmektedir.

 

Bunun yanı sıra, DPF’nin üç yıllık inceleme sürecine ilişkin olumlu yaklaşım, çerçevenin gelecekte daha sağlam bir altyapıya kavuşacağının sinyalini vermektedir.

 

Sonuç: Uluslararası Veri Transferlerinde Yeni Bir Dönem

EDPB’nin AB-ABD Veri Gizliliği Çerçevesi hakkındaki raporu, veri transferlerinin güvenliğini artırmak ve bireylerin mahremiyetini korumak adına önemli bir adımı temsil ediyor. Şirketlerin bu çerçeveye uygun bir şekilde hareket etmesi, hem yasal uyumluluk hem de müşteri güveni açısından kritik öneme sahiptir.

 

KAYNAK: https://www.dataguidance.com/news/eu-edpb-adopts-report-commission-adequacy-decision-eu

…………………………………………………………………………………………………………

ULUSLARARASI Ve TÜRKİYE’YE İLİŞKİN YAPTIRIMLAR & KARARLAR

 

KVKK ve Sözleşme Uyuşmazlıklarında Önemli Karar

Yazılım Kullanımı ve KVKK İddiaları Üzerine Verilen Kararın Detayları

Türkiye’deki bir şirketin, KVKK ile uyumsuz olduğunu ileri sürdüğü bir yazılımı kullanmayı reddetmesi üzerine açılan dava, yazılım firması lehine sonuçlandı. Amerika merkezli bir yazılım şirketi ile Türk şirket arasında yapılan Erişim ve Kullanım Lisansı ve Abonelik Hizmetleri sözleşmesi, bedelin ödenmemesi gerekçesiyle yargıya taşındı.

 

Davanın Arka Planı

Amerika merkezli yazılım firması ile Türkiye’de yerleşik şirket arasında yapılan 1 yıllık sözleşme, hizmetlerin belirli bir süre boyunca sağlanmasını içeriyordu. Türk şirket, yazılımın KVKK açısından sakıncalı bulunduğunu, kullanılmadığını ve bu nedenle hizmet alınmadığını öne sürerek, sözleşme bedelini ödemedi.

Buna karşılık davacı firma, yazılımın KVKK ve GDPR kurallarına uyumlu olduğunu, bunun sözleşmede açıkça belirtildiğini savundu. Mahkeme süreci, özellikle bilirkişi raporları ve sözleşme hükümleri üzerinden şekillendi.

 

Mahkeme ve İstinaf Süreci Kararları

  1. İlk Derece Mahkemesi:

o   Mahkeme, basiretli tacir ilkesi gereğince tarafların özenli davranması gerektiğini vurguladı.

o   Yazılımın kullanılmadığı iddiaları, hizmetin süre bazlı bir bedel içerdiği gerekçesiyle reddedildi.

o   Bilirkişi raporu, yazılımın ayıp ya da eksik yönlerinin ispatlanamadığını ortaya koydu.

 

  1. İstinaf Aşaması:

o   Bilirkişi Raporu: Yazılımın KVKK’ya aykırılığının tespit edilmediği ve veri toplayıcı mekanizmanın yalnızca kullanıcının açık rızası ile çalışabileceği belirtildi.

o   Hizmetin Süre Bazlı Olması: Yazılımın kullanımı için gerekli altyapının sağlandığı ve hizmetin süre bazlı olarak sunulduğu ifade edildi.

o   Sözleşme Maddeleri: Tarafların fesih haklarını kullanmadığı, ayıp ihbarında bulunulmadığı ve sözleşmenin yaklaşık 6 ay boyunca devam ettirildiği kaydedildi.

 

Kararın Önemi

Bu dava, KVKK ve GDPR gibi veri koruma düzenlemelerinin yazılım hizmet sözleşmelerinde nasıl ele alınması gerektiğine dair önemli bir emsal niteliğinde.

Özellikle:

  • Basiretli Tacir İlkesi:Şirketlerin sözleşme sürecindeki özen yükümlülüğünü hatırlatıyor.
  • KVKK’ya Uyumluluğun Tespiti:Bu tür iddiaların yalnızca Kişisel Verileri Koruma Kurumu tarafından değerlendirilebileceği vurgulandı.
  • Sözleşme Hükümlerinin Önceliği:Hizmetin kullanım değil, süre bazlı bedel üzerinden değerlendirildiği mahkeme tarafından açıkça belirtildi.

Bu karar, veri koruma düzenlemeleri ile ticari sözleşmeler arasındaki ilişkinin doğru bir şekilde kurulmasının önemini gözler önüne seriyor. Şirketler, bu tür uyuşmazlıkları önlemek için sözleşme hükümlerini detaylı incelemeli ve tarafların yükümlülüklerini net şekilde belirlemelidir.

 

Ne Yapılmalı?

Bu tür uyuşmazlıkların önüne geçmek ve veri koruma mevzuatına uygunluğu sağlamak için şirketlerin dikkat etmesi gereken temel adımlar:

 

  1. Sözleşme Hükümlerini Detaylı İncelenmesi
  2. KVKK ve GDPR Uyumunu Doğrulanması
  3. Ayıp İhbarını Zamanında Yapılması
  4. Bilirkişi veya Uzman Görüşü Alınması
  5. İç Denetim ve Eğitimler Düzenlemesi

 

KAYNAK: https://www.lexpera.com.tr/ictihat/bolge-adliye-mahkemesi/istanbul-bam45-hd-e-2023-2177-k-2024-94-t-17-1-2024

………………………………………………………………………………………………

Hindistan Rekabet Otoritesinden WhatsApp’a Ceza

Hindistan’ın Rekabet Otoritesi, WhatsApp’ın kullanıcı verilerini Meta’ya ait diğer platformlarla reklam amaçlı paylaşması nedeniyle şirkete 25,4 milyon ABD Doları tutarında para cezası verdi.

 

Kararın Arka Planı

Bu karar, 2021 yılında yapılan WhatsApp gizlilik politikası değişikliği nedeniyle alındı. Gizlilik politikası değişikliğinin Hindistan’ın rekabet kurallarını ihlal ettiği gerekçesiyle:

  • WhatsApp’a, kullanıcı verilerini reklam amaçlı olarak Meta’nın diğer uygulamalarıyla paylaşmayıbeş yıl süreyle durdurma emri verildi.
  • 2021 yılında Meta, Facebook ve Instagram gibi bağlı uygulamaları arasında veri paylaşımına izin veren düzenlemeyi hayata geçirmişti. Bu durum, dünya genelinde geniş bir kullanıcı kitlesi ve düzenleyici kurumlar tarafından ciddi eleştirilere neden olmuştu.

 

Rekabet otoritesi, değişikliğin kullanıcıların veri paylaşımına yönelik açık rızalarının eksikliği ve rekabeti bozucu etkileri nedeniyle yaptırımları uyguladı.

 

Ne Yapılmalı?

Bu tür cezalarla karşılaşmamak ve veri paylaşımına dair güvenilirliği artırmak için şirketlerin aşağıdaki adımları atması önemlidir:

  1. Açık ve Şeffaf Politikalar Geliştirilmeli
  2. Açık Rıza Alınmalı
  3. Rekabet ve Veri Koruma Uyumu Sağlanmalı

 

KAYNAK: https://lnkd.in/d3MJUtm4

…………………………………………………………………………………………………………..

Güney Kore’den Meta’ya  Para Cezası: Hassas Verilerin İhlali Gündemde

Dijital dünyada veri güvenliği ve mahremiyet, şirketler için giderek daha büyük bir sorumluluk alanı haline geliyor. Bu kapsamda, Güney Kore Veri Koruma Otoritesi (Personal Information Protection Commission – PIPC), Facebook’un ana şirketi Meta’ya 21,62 milyar Won (yaklaşık 15,67 milyon ABD doları) para cezası verdi. Cezanın gerekçesi, kullanıcıların hassas kişisel verilerinin yasal bir dayanak olmaksızın toplanarak reklam verenlerle paylaşılması oldu.

 

Hassas Verilerin İhlali: Dini ve Siyasi Bilgiler Hedefte

PIPC’nin yaptığı incelemeler sonucunda Meta’nın, kullanıcıların dini inançları ve siyasi görüşleri gibi hassas kişisel verilerini topladığı ve bu bilgileri reklam hedefleme amacıyla üçüncü taraflarla paylaştığı ortaya çıktı. Güney Kore yasalarına göre, hassas kişisel verilerin işlenmesi ancak açık ve özgür iradeye dayalı bir rıza ile mümkündür. Meta’nın bu rıza şartını yerine getirmediği belirtilmiştir.

 

Meta’nın İhlallerine İlişkin Bulgular

PIPC tarafından yayımlanan raporda şu bulgular öne çıkıyor:

 

  1. Hassas Verilerin Toplanması: Meta, kullanıcıların sosyal medya etkileşimlerinden ve platform üzerindeki davranışlarından hassas bilgileri otomatik olarak çıkararak reklam hedefleme süreçlerine dahil etti.
  2. Yasal Dayanak Eksikliği: Kullanıcılardan gerekli açık rızaların alınmadığı ve bu durumun Güney Kore’nin Kişisel Bilgi Koruma Yasası (PIPA) ile doğrudan çeliştiği ifade edildi.
  3. Kullanıcı Haklarının İhlali: Hassas verilerin, kullanıcılara şeffaf bir şekilde açıklanmadan işlenmesi ve paylaşılması, bireylerin mahremiyet hakkını ihlal etti.

 

Şirketlere Önemli Uyarılar

Bu karar, yalnızca Meta için değil, kişisel veri işleyen tüm şirketler için önemli bir emsal teşkil etmektedir. Güney Kore’nin kararı, küresel düzeyde şirketlerin veri işleme süreçlerinde dikkat etmesi gereken konuları bir kez daha gündeme getirmiştir. Şirketlerin:

  • Veri işleme süreçlerinde açık ve özgür irade ile alınmış rızalara sahip olması,
  • Hassas kişisel veriler konusunda daha yüksek standartlarda koruma sağlaması,
  • Uluslararası veri koruma yasalarına uyumlu politikalar benimsemesi gerekmektedir.

 

Sonuç: Küresel Veri Koruma Standartlarının Önemi

Meta’ya verilen bu  ceza, küresel düzeyde veri koruma standartlarının yükseltilmesi gerektiğini ortaya koyuyor. Şirketlerin, kullanıcı verilerini işlerken hem yerel hem de uluslararası yasalara uyum sağlaması yalnızca hukuki bir zorunluluk değil, aynı zamanda kullanıcı güvenini kazanmanın temel yollarından biridir.

 

KAYNAK: https://www.reuters.com/technology/south-korea-fines-meta-about-15-mln-over-collection-user-data-2024-11-05/

……………………………………………………………………………………………………………………………………………………………………………..

İspanya Veri Koruma Otoritesinden GDPR İhlallerine Cezalar: Banka ve Web Sitesi Sağlayıcısına Yüksek Para Cezası

Kişisel verilerin korunması, hem bireylerin mahremiyetini hem de işletmelerin yasal uyumluluğunu sağlamak adına büyük önem taşıyor. Bu kapsamda, İspanya Veri Koruma Otoritesi (Agencia Española de Protección de Datos – AEPD) tarafından, Genel Veri Koruma Tüzüğü (GDPR) ihlalleri nedeniyle bir banka ve bir web sitesi sağlayıcısına yüksek para cezaları uygulandı.

 

180.000 Euro Para Cezası: Eski Müşteri Verilerine Yetkisiz Erişim

AEPD, sözleşmesel ilişki sona erdikten sonra herhangi bir yasal dayanak olmaksızın eski bir müşterinin kişisel verilerine 47 kez erişim sağlayan bir bankaya 180.000 Euro para cezası verdi. Bu durum, GDPR’ın temel prensiplerinden biri olan “kişisel verilerin yalnızca meşru bir amaçla işlenmesi” kuralının ihlali olarak değerlendirildi.

Raporda, bankanın:

  • Kişisel verilerin işlenmesi için uygun bir yasal dayanak sunmadığı,
  • Eski müşterinin kişisel verilerini gereksiz yere sakladığı ve işlediği, belirtilmiştir. Bu durum, GDPR’ın veri minimizasyonu ve saklama süresi ilkeleriyle de çelişmektedir.

 

90.000 Euro Para Cezası: Gereksiz Çerez Kullanımı

AEPD ayrıca, bir web sitesi sağlayıcısının kullanıcıların izni olmadan gereksiz çerezler yerleştirdiğini ve bu çerezlerin varlığı ve işlevi hakkında kullanıcıları bilgilendirmediğini tespit etti. Bu ihlal nedeniyle sağlayıcıya 90.000 Euro para cezası verildi.

GDPR ve e-Privacy düzenlemelerine göre:

  • Çerezlerin yalnızca kullanıcıların açık izni ile yerleştirilmesi gerekmektedir.
  • Kullanıcılar, çerezlerin amacı ve işlevi hakkında net bir şekilde bilgilendirilmelidir.

Bu olay, özellikle çerez politikalarının GDPR ile uyumlu hale getirilmesinin önemini bir kez daha gündeme getirdi.

 

Sonuç: GDPR’a Uyum Hayati Önem Taşıyor

AEPD’nin uyguladığı bu cezalar, GDPR uyumluluğunun ihlal edilmesi durumunda ciddi mali ve itibari sonuçlar doğurabileceğini bir kez daha göstermektedir. Özellikle, müşteri verilerinin gereksiz yere işlenmesi veya çerez politikalarının yetersizliği gibi konular, işletmelerin daha dikkatli bir yaklaşım benimsemesini gerektirmektedir.

 

KAYNAK: https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00524/2023&mtc=today

………………………………………………………………………………………………………………………………….

İtalya Veri Koruma Otoritesinden Belediyeye Para Cezası: Çalışan Sağlık Verileri İhlali

Kişisel sağlık verilerinin korunması, hem bireylerin mahremiyetini sağlamak hem de işverenlerin yasal yükümlülüklerini yerine getirmesi açısından kritik öneme sahiptir. Bu kapsamda, İtalya Veri Koruma Otoritesi (Garante per la protezione dei dati personali), bir belediyeye, çalışanların sağlık ve engellilik durumuna ilişkin hassas verilerin izinsiz ifşası nedeniyle 10.000 Euro para cezası verdi.

 

İhlalin Detayları: Hassas Verilerin E-Posta ile İfşası

Garante tarafından yapılan incelemede, belediyenin bir çalışanın engellilik durumu ve diğer sağlık verilerini içeren bilgileri, diğer çalışanlara e-posta yoluyla ifşa ettiği tespit edildi. Bu durum, Genel Veri Koruma Tüzüğü (GDPR)hükümlerine açık bir aykırılık teşkil etmektedir.

İhlalin temel unsurları şu şekilde sıralanmıştır:

 

  1. Hassas Verilerin Korunmaması:

o   Sağlık verileri ve engellilik durumu gibi hassas kişisel bilgiler, GDPR kapsamında en yüksek düzeyde korumaya tabi tutulmalıdır.

 

  1. İzinsiz Paylaşım:

o   Çalışanların sağlık bilgileri, yalnızca gerekli durumlarda ve bireyin açık rızası alınarak işlenebilir. Bu durumda, herhangi bir rıza veya yasal dayanak bulunmamaktadır.

 

  1. Şeffaflık Eksikliği:

o   Belediyenin veri işleme süreçlerinde, çalışanların haklarına saygı gösterilmediği ve GDPR’ın temel ilkelerine aykırı hareket edildiği belirtilmiştir.

 

Garante’nin Değerlendirmesi

Garante, belediyeye yönelik para cezası kararında şu unsurları vurgulamıştır:

  • Hassasiyet Gerektiren Verilerin İşlenmesi: Sağlık ve engellilik durumuna ilişkin bilgiler, GDPR’a göre yalnızca sınırlı ve meşru amaçlar doğrultusunda işlenebilir. İzinsiz paylaşım, veri sahiplerinin temel haklarını ihlal eder.
  • Kurumsal Sorumluluk: Belediyelerin, çalışanlarına ait kişisel verilerin işlenmesi sırasında yüksek düzeyde dikkat göstermesi gerektiği belirtilmiştir.

 

Sonuç: Veri Koruma Kültürünün Önemi

İtalya Veri Koruma Otoritesi’nin bu kararı, işverenlerin çalışanlarının hassas verilerini işlerken daha dikkatli ve sorumlu davranmaları gerektiğini bir kez daha ortaya koyuyor. Hassas verilerin izinsiz ifşası yalnızca GDPR’a aykırılık teşkil etmekle kalmaz, aynı zamanda kurumların itibarını da ciddi şekilde zedeleyebilir.

 

KAYNAK: https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10068155&mtc=today

……………………………………………………………………………………………………………………………………………..

REGÜLASYON GÜNDEMİ

Hollanda Veri Koruma Otoritesi’nden Duygu Tanıma Teknolojilerine Yönelik Kamuoyu Görüşü

Duygu tanıma teknolojilerinin iş yeri ve eğitim ortamlarında kullanımı, mahremiyet ve veri koruma açısından ciddi tartışmalara yol açıyor. Bu bağlamda, Hollanda Veri Koruma Otoritesi (Autoriteit Persoonsgegevens – AP) kamuoyunu bu konuda görüş bildirmeye davet ederek önemli bir adım attı.

Duygu tanıma sistemleri, bireylerin duygularını ve niyetlerini biyometrik veriler aracılığıyla analiz eden yapay zeka tabanlı teknolojiler olarak tanımlanıyor. AP’nin girişimi, bu tür sistemlerin mahremiyet üzerindeki etkilerini değerlendirmeyi ve AB Yapay Zeka Yasası’nda (Artificial Intelligence Act) önerilen düzenlemelere dair farkındalık yaratmayı amaçlıyor.

 

Duygu Tanıma Sistemleri ve AB Yapay Zeka Yasası

AB Yapay Zeka Yasası, duyguları analiz eden veya niyetleri tahmin eden biyometrik sistemlerin, tıbbi ve güvenlik gerekçeleri dışında kullanımını yasaklamayı önermektedir. Bu düzenleme, kişisel özgürlüklerin korunmasını ve bireylerin mahremiyet haklarının ihlal edilmemesini sağlamak adına büyük önem taşıyor.

Hollanda Veri Koruma Otoritesi, iş yeri ve eğitim gibi hassas ortamlar başta olmak üzere, bu tür teknolojilerin kullanımının sınırlanmasının gerekliliğine vurgu yaparak şu noktaları öne çıkardı:

 

  1. Uzaktan Çalışma ve Çevrimiçi Eğitim Ortamları:

o   Çevrimiçi platformlarda duygu tanıma teknolojilerinin kullanılması, çalışanların ve öğrencilerin mahremiyetine yönelik ciddi riskler oluşturabilir.

o   Bu tür sistemler, bireylerin rızası olmadan biyometrik verilerini işleyerek kişisel hakları ihlal edebilir.

 

  1. Mahremiyetin İhlali:

o   Duygu tanıma teknolojileri, bireylerin yüz ifadeleri, ses tonları veya fizyolojik verileri üzerinden tahminlerde bulunarak özel hayatın gizliliğine doğrudan müdahale edebilir.

o   Bu durum, bireylerin duygusal manipülasyona maruz kalma riskini artırabilir.

Kamuoyu Görüşünün Önemi

AP, bu konuda toplumun geniş kesimlerinden geri bildirim almayı hedefliyor. Özellikle şu alanlarda görüşlerin toplanması önem taşıyor:

  • Duygu tanıma teknolojilerinin iş yeri ve eğitimde kullanımıyla ilgili endişeler,
  • Bireylerin bu teknolojilere ilişkin mahremiyet kaygıları,
  • AB Yapay Zeka Yasası’nın düzenlemelerine yönelik öneriler ve talepler.

 

Bu süreç, yalnızca teknoloji şirketleri ve politika yapıcılar için değil, aynı zamanda bireylerin haklarının korunması açısından da kritik bir öneme sahiptir.

 

Sonuç: Mahremiyet ve Yapay Zeka Dengeyi Nasıl Kurmalı?

Hollanda Veri Koruma Otoritesi’nin bu girişimi, yapay zeka teknolojilerinin etik ve yasal sınırlarını tartışmaya açarak önemli bir farkındalık yaratmayı hedefliyor. Duygu tanıma gibi hassas teknolojilerin yanlış kullanımı, bireylerin temel haklarını ve özgürlüklerini ciddi şekilde etkileyebilir. Bu nedenle, toplumsal diyalog ve düzenleyici mekanizmalar, teknolojinin sorumlu bir şekilde kullanılmasını sağlamak için kritik bir rol oynuyor.

 

KAYNAK: https://www.dataguidance.com/news/netherlands-ap-requests-comments-prohibition-emotion

……………………………………………………………………………………………………………………..

EDPB’den Veri Erişimi ve Hukuk Uygulaması Konusunda Kritik Değerlendirme

Avrupa Veri Koruma Kurulu (EDPB), suç soruşturmalarında veri erişimi ve hukuk uygulamaları için geliştirilen politikaların etkili bir şekilde değerlendirilmesine yönelik, Etkili Hukuk Uygulaması İçin Veri Erişimi Konusunda Yüksek Düzeyli Grubun Tavsiyelerine ilişkin bir açıklama yayımladı. Bu açıklama, bireylerin temel haklarını koruma ile kamu güvenliği arasında hassas bir denge kurmanın gerekliliğini vurguluyor.

 

Veri Erişimine Destek, Ancak Kanıtlara Dayalı Olmalı

EDPB, suç soruşturmaları için yargı izniyle veri erişimini desteklediğini belirtirken, bu tür erişim tedbirlerinin gerekliliği ve orantılığı konusunda daha fazla kanıta ihtiyaç duyulduğuna dikkat çekti. Açıklamada, özellikle aşağıdaki konulara vurgu yapıldı:

 

  1. IP Adresleri ve Trafik Verileri:

o   Suçla mücadelede kullanımı öngörülen IP adresleri ve trafik verileri gibi bilgilerin işlenmesi, bireylerin mahremiyetine ciddi etkiler yaratabilir.

 

  1. Konum Verileri:

o   Geniş kapsamlı bir şekilde konum verilerinin saklanmasının, bireylerin özel hayatına yönelik önemli riskler taşıdığı ifade edildi.

 

  1. Kanıt Temelli Yaklaşım Eksikliği:

o   Yüksek Düzeyli Grubun önerilerinde, bu tedbirlerin gerçekten gerekli olduğuna dair yeterli kanıt bulunmadığı eleştirildi.

 

Orantılılık ve Gereklilik Prensiplerinin Önemi

EDPB, veri erişimi konusunda orantılılık ve gereklilik ilkelerinin temel alınması gerektiğini bir kez daha hatırlattı. Bu çerçevede, veri erişim mekanizmalarının şu şekilde uygulanması gerektiği ifade edildi:

  • Hedefe Yönelik ve Sınırlı Olmalı: Veri erişimi yalnızca belirli ve meşru amaçlar için kullanılmalı; bireylerin geniş çaplı gözetim altına alınmaması sağlanmalı.
  • Bağımsız Yargı Denetimi Şart: Veri erişim talepleri, bağımsız bir yargı organı tarafından denetlenmeli ve onaylanmalı.
  • Temel Haklara Saygı: Tüm süreçlerde bireylerin özel hayatına ve mahremiyetine saygı gösterilmeli; aşırı ve gereksiz veri işleme önlenmelidir.

 

Hassas Verilerin Saklanması Konusunda Endişeler

Açıklamada, hassas kişisel verilerin geniş kapsamlı ve uzun süreli saklanmasının yaratabileceği risklere de dikkat çekildi. Özellikle:

  • IP adresleri ve trafik verileri gibi bilgiler üzerinden bireylerin alışkanlıklarının izlenebileceği,
  • Konum verilerinin sürekli saklanmasının bireylerin hareket özgürlüğünü etkileyebileceği ifade edildi.

Bu verilerin aşırı toplanmasının, bireyler üzerinde gözetim hissi yaratabileceği ve temel özgürlükleri zayıflatabileceği belirtiliyor.

 

Sonuç:

EDPB’nin bu açıklaması, suçla mücadele ve kamu güvenliği amacıyla veri erişimi politikalarının geliştirilmesinde dikkatli bir yaklaşımın gerekliliğini vurgulamaktadır. Orantılılık, gereklilik ve bağımsız denetim ilkeleri, bu tür uygulamaların bireylerin temel hak ve özgürlüklerini koruyacak şekilde tasarlanmasının anahtarıdır.

 

KAYNAK: https://www.dataguidance.com/news/eu-edpb-publishes-statement-recommendations-high-level

 

İlginizi Çekebilir

Genel Hizmetlerimiz Formu