KVKK BÜLTEN- AĞUSTOS 2024

Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun ve Kanun’a bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2024 Ağustos ayında Kurul tarafından veri ihlal bildirimlerinin yanı sıra 18/07/2024 tarihli ve bu yıl ilk defa internet sitesinde yer verilen 2024/1176 sayılı “Abonelik Tesisi Amacıyla Hukuka Aykırı Kişisel Veri İşlenmesi” hakkında karar özeti ve “Araştırma Şirketlerinin İstatistiksel Araştırma Yapmak Amacıyla Rastgele Numara Çevirme ile Telefon Mülakatı Yöntemi Kullanarak Gerçekleştirdikleri Kişisel Veri İşleme Faaliyetleri” hakkında kamuoyu duyurusu yayımlanmıştır.

Bunun yanı sıra, Ticaret Bakanlığı ile İş Birliği Protokolü imzalandığını bildiren Kurul, ilgili bildiride İş Birliği Protokolü’nün hedefli reklamcılık ve aldatıcı ticari tasarım uygulamaları hakkında toplumun her kesiminde farkındalığın artırılması, dijital reklam ve uygulamalar ile kişisel verilerin kullanımına ilişkin ortak alanlarda uluslararası düzenlemelerin ve uygulamaların takip edilmesi ve mevcut ya da olası ihlallere karşı ortak politika üretilmesi amacıyla imzalandığını, bir diğer anlatımla imzalanan protokol ile, dijital reklam ve uygulamalar konusunda tüketici farkındalığının artırılması ve tüketicilerin kişisel verileri üzerindeki kontrolünün güçlendirilmesinin hedeflendiğini belirtmiştir.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2024 Ağustos ayında Kurul internet sitesi olan kvkk.gov.tr alan adlı sitede iki adet veri ihlal bildirimi yayımlanmıştır.

Gündoğdu Mobilya Sanayi Ticaret Ltd. Şti.

Gündoğdu Mobilya Sanayi Ticaret Ltd. Şti., veri sorumlusu sıfatıyla Kurula ilettiği veri ihlal bildiriminde, sunucularında bulunan verilerin şifrelendiğini, ihlalin 9 Ağustos 2024 tarihinde başladığını ve aynı gün tespit edildiğini ifade etmiştir. İhlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, hukuki işlem ve müşteri işlem verileri olduğu, ihlalden etkilenen ilgili kişi grubunun ise çalışanlar, kullanıcılar ve müşteriler olduğu belirtilmiştir. İhlalden etkilenen kişi sayısı, sisteme erişim olmaması sebebiyle tespit edilememiştir. İlgili kişilerin, veri ihlali hakkında bilgi almak için veri sorumlusuna ait çağrı merkezini kullanabilecekleri bilgisi verilmiştir.

Maltepe Üniversitesi

Maltepe Üniversitesi, veri sorumlusu sıfatıyla Kurula ilettiği veri ihlali bildiriminde, 19 Haziran 2024 tarihinde 01.27-06.35 saatleri arasında bir siber saldırganın veri sorumlusunun sistemlerinde yer alan bir kullanıcı hesabının parolasını ele geçirdiği ve fidye yazılımı saldırısı gerçekleştirdiği ifade edilmiştir. Saldırgan, veri sorumlusundan fidye talebinde bulunmuş ancak veri sorumlusu sistemlerden dışarıya herhangi bir veri çıkışı olmadığı belirtilmiştir.  Veri sorumlusu bildiriminde, ihlalden etkilenen ilgili kişi grupları, kişi sayısı ve kişisel verilere ilişkin bilgi paylaşılmamıştır.

GRC LEGAL Yorumu

 Ağustos ayında yayımlanan veri ihlal bildirimleri incelendiğinde, söz konusu ihlallerin güvenlik açıkları ve veri sızıntısı sebebiyle veri sorumlularının sunucularında meydana gelen siber saldırılar ile gerçekleştiği görülmektedir.

Gündoğdu Mobilya Sanayi Ticaret Ltd. Şti.’nin sunucularındaki verilerin şifrelenmesi ve Maltepe Üniversitesi bünyesinde meydana gelen siber saldırılar sebebiyle veri sorumluları bünyesinde veri ihlalleri meydana gelmiştir. Bu kapsamda, her türlü teknik ve idari tedbiri almakla yükümlü veri sorumlularının, özellikle fidye yazılımı kullanıldığı durumlarda verilerin yedeklenmesi ve güçlü şifreleme yöntemlerinin uygulanması önlemleri kritik önem taşımaktadır.

Düzenli siber güvenlik eğitimleri, sistem güncellemeleri, güçlü şifreleme protokolleri ve acil durum eylem planlarının geliştirilmesi hem teknik hem de idari anlamda proaktif tedbirler alınmasını sağlayacak, böylece bu tür ihlallerin meydana gelmesini engelleyebilecektir.

Ek olarak, veri ihlal bildirimleri Kurul’un internet sitesinde bizzat unvanı yazılı veri sorumluları nezdinde bir itibar kaybına da sebebiyet verebilecektir. Bu minvalde, itibar kaybı ile hukuki sorunları en aza indirgeyebilmek adına ihlalden etkilenen ilgili kişilerin en hızlı ve şeffaf bir şekilde bilgilendirilmesi hem veri sorumluları hem de ilgili kişilerin haklarının korunması açısından önem arz etmektedir.

KURUL KARAR ÖZETLERİ

Veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiş, birçok usul ve esasın yanı sıra Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) dünyasından aşina olunan sıfat ve tabirlere burada yer verilmiştir. KVKK 22. maddesinde Kurul’un görev ve yetkileri sayılmış olup karar özetlerinin bağlayıcılığı bu hükme dayanmaktadır.

Veri İşleyenler, Veri Sorumlularının Verdiği Yetki ve Talimatların Dışına Çıkmamalı!

Kurul’un 18/07/2024 tarihli ve 2024/1176 sayılı kararında; Kişisel Verileri Koruma Kurumu’na (“Kurum”) şikâyette bulunan ilgili kişi tarafından, internet hizmeti taahhüt süresinin dolmasının ardından internet ortamında yeni tarifelere bakarken Türk Telekom internet sitesi ile aynı/çok benzer görselleri paylaşan bir siteye yanlışlıkla girdiği ve ilgili siteye cep telefonu bilgisini girmesi ile birlikte Türk Telekom yetkilisi olduğunu düşündüğü bir temsilci tarafından arandığı ve sair kişisel verilerini de aktardığı, akabinde aynı gün Demirören İnternet ve İletişim Hizmetleri Ticaret Anonim Şirketi’ne (“D-Smart”) geçtiği yönünde bir SMS aldığı ve arayan kişinin Türk Telekom müşteri temsilcisi olmadığı, iradesinin sakatlanarak bilgilerinin hukuka aykırı şekilde elde edildiğini anladığı belirtilmiştir.

Konuya ilişkin yürütülen inceleme sonucunda; D-Smart sistemlerinde yapılan kontroller kapsamında, ilgili kişiye ait bilgilerin D-Smart’ın tek pay sahibi olduğu ve operasyonel işleyiş kapsamında D-Smart abonelerinin her türlü iş ve işlemleriyle ilgilenen Andromeda TV Dijital Platform İşletmeciliği Anonim Şirketi (“Andromeda”) ile İkra İletişim Telekomünikasyon ve Danışmanlık Hizmetleri Sanayi Ticaret Limited Şirketi (“İkra İletişim”) arasında bir  “D-Smart Çözüm Ortaklığı Sözleşmesi” akdedildiği, bu doğrultuda söz konusu verilerin girişinin D-Smart süreçlerine aracılık eden İkra İletişim tarafından gerçekleştirildiği ve İkra İletişim’in, D-Smart sistemlerinde kaydı bulunmayan ilgili kişiyi, D-Smart’ın talimatı veya bilgisi dâhilinde olmadan potansiyel abonenin verilerini bağımsız bir şekilde veri sorumlusu sıfatıyla bizzat kendisinin temin ederek ilgili sisteme aktardığı tespit edilmiştir.

Değerlendirmeler neticesinde; D-Smart ve Andromeda hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilirken; İkra İletişim’in, Andromeda ile akdettiği sözleşme uyarınca veri işleyen statüsünde olmasına rağmen, başka bir firmaya ait görselleri kullanarak potansiyel müşterileri yanılttığı ve bu şekilde ilgili kişiye ait kişisel verileri temin edip işlediği, bu faaliyetin sözleşme hükümlerine aykırı olması nedeniyle İkra İletişim’in somut olayda veri sorumlusu sıfatıyla hareket ettiği ve Kanun’un 5’inci maddesinde düzenlenen işleme şartlarına dayanmadığı, açık rıza şartına dayanabilmesi için ise açık rızanın özgür irade ile açıklanması temel şartına uyum sağlamadığı değerlendirilerek Kanun’un 12/1-a maddesine aykırı davrandığı gerekçesiyle İkra İletişim hakkında 450.000 Türk Lirası idari para cezası uygulanmasına karar verilmiştir.

GRC LEGAL Yorumu

KVKK madde 3 ile de tanımlandığı üzere veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Veri işleyenler, kişisel verileri kendisine verilen talimatlar çerçevesinde işleyen, veri sorumlusunun kişisel veri işleme sözleşmesi yapmak suretiyle yetkilendirdiği ayrı bir gerçek veya tüzel kişidir.

Bununla birlikte, somut olay bazında her bir süreç ve faaliyet kendi özelinde değerlendirilerek sözleşme taraflarının KVKK kapsamında hukuki niteliği tespit edilmelidir. Keza, kendilerine tanınan yetki ve talimatların dışında hareket etmeleri halinde veri işleyenler, veri sorumlusu sıfatını haiz olacak ve kişisel veri işleme faaliyetlerinin hukuku aykırılığı halinde idari para cezası yaptırımlarının süjesi haline gelecektir. Bu minvalde, veri işleyenlerin veri sorumluları ile akdettikleri sözleşmesel ilişkinin çerçevesini net bir şekilde belirlemesi ve sözleşme edim ve borçları dahilinde hareket etmesi elzemdir.

KAMUOYU DUYURUSU

Araştırma Şirketlerinin İstatistiksel Araştırma Yapmak Amacıyla “Rastgele Numara Çevirme ile Telefon Mülakatı Yöntemi” Kullanarak Gerçekleştirdikleri Kişisel Veri İşleme Faaliyetleri” Hakkında Kamuoyu Duyurusu

Araştırma şirketlerinin “rastgele numara çevirme ile telefon mülakatı yöntemi” kullanarak kişisel veri işleme suretiyle pek çok ilgili kişiyle irtibata geçmesi ve Kurum’a iletilen muhtelif şikayetlerin artması sebebiyle Kurul tarafından bir kamuoyu duyurusu yayımlanması zorunluluğu hasıl olmuştur.

KVKK madde 28 uyarınca Kanun’un uygulama alanı bulmayacağı haller açıklanmış olup 1. fıkranın b bendi uyarınca ‘kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi’ istisnai durumu hüküm altına alınmıştır.

  1. 08.2024 tarihinde yayımlanan ilgili kamuoyu duyurusunda Kurul, rastgele numara çevirme yöntemi ile telefon mülakatı yöntemi faaliyetlerinin, veri sorumluları tarafından tevsik edici somut bir bilgi veya belge sunulmaması üzerine, konu ile ilgili mevzuatı da ele alarak KVKK madde 28 uyarınca işlemenin resmi istatistik amacıyla kişisel veri işlenmesi’ istisnası kapsamında değerlendirilemeyeceğini belirtmiştir.
  2. Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e göre anonim verinin, başından beri belirli bir kişiyle ilişkilendirilemeyen veri olarak tanımlanırken, anonim hale getirilmiş veri daha önce kişiyle ilişkilendirilmiş ancak artık ilişkilendirilemeyecek hale getirilmiş veri olarak tanımlandığı vurgulanmıştır. Kurul, söz konusu tanıma yönelik açıklamayı, ilgili aramalar kapsamında işlenen kişisel verilerin takma adlandırma (Pseudonymisation) yöntemiyle 2 yıl süreyle muhafaza edildiğinin tespiti üzerine gerçekleştirerek söz konusu sürecin ‘anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla kişisel veri işlenmesi’ istisnası kapsamında da değerlendirilemeyeceğini ifade etmiştir.

Bu kapsamda, söz konusu sürecin Kanun’da sayılı istisnai haller arasında sayılmadığı, dolayısıyla rastgele numara çevirme ile telefon mülakatı yöntemi kullanılarak gerçekleştirilen kişisel veri işleme faaliyetlerinde 6698 sayılı Kanun hükümlerine uyulması gerektiği belirtilmiştir.

Kurul tarafından, telefon numaralarının kamuoyu araştırmalarında “rastgele numara çevirme ile yapılan telefon mülakatı” yöntemi kapsamında türetildiği ve bir yerden elde edilmediği, türetilen numaranın görüşmeyi yapan personel tarafından görülmediği, ilgili kişinin telefon numarasının aranması suretiyle kişisel veri işleme faaliyetine başlandığı, bunun yanı sıra araştırma için gerekli ve sınırlı olduğu ölçüde ilgili kişilerin aranma tarihi ve süresi, arayan numara ve aranan numara şeklindeki trafik logunun, ilgili kişilerin bir daha aranmama talepleri bağlamında aranmayacaklar listesine telefon numaralarının işlenmesi ile görüşmenin ses kaydının alınması suretiyle yapılan kişisel veri işleme faaliyetlerinin araştırmanın kalite kontrol kapsamında denetlenmesi, araştırmacının yükümlülüklerini yerine getirmesi ve hukuki uyuşmazlık halinde yükümlülüklerin yerine getirildiğini ispat etmesi amaçlarıyla Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendinde yer alan “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında hukuka uygun kabul edilebileceği kabul edilmiştir.

Bununla birlikte, ilgili kişiyle ilk temasta; aramanın kim tarafından yapıldığı, hangi kişisel verilerin işlendiği, telefon numarasının rastgele numara çevirme yöntemi ile üretildiği ve işlemenin amacı gibi bilgilerin verilmesi gerektiği, aydınlatma sonrasında açık rıza alınarak veri işleme faaliyetine devam edilmesi gerektiği belirtilmiştir.