KVKK BÜLTEN- Aralık 2024
Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun ve Kanun’a bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2024 Aralık ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede iki adet veri ihlal bildirimi, bir adet Kurul Karar Özeti, “Kabahatlerin Zaman Bakımından Uygulanması Bilgi Notu” ile “Kişisel Verileri Koruma Kurumu 2024 Yılı Faaliyetlerine İlişkin Bilgi Notu” yayımlanmıştır. Ek olarak, Aralık ayı içerisinde Anadolu Ajansı’nın internet sitesi olan www.aa.com.tr alan adlı sitede bir adet Kurul kararı yayımlanmıştır.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Anıl Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi (Özel Hisar Tıp Merkezi)
Veri sorumlusu sıfatını haiz Anıl Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi tarafından Kurul’a iletilen veri ihlali bildiriminde; ihlalin 22.11.2024-24.11.2024 tarihleri arasında gerçekleştiği ve 02.12.2024 tarihinde tespit edildiği, ihlalin siber saldırı sonucunda gerçekleştiği ancak konuya ilişkin detaylı bilginin bulunmadığı, veri sorumlusunun mevcut durumda ihlale konu verilere erişemediği belirtilmiştir. Gerçekleşen ihlalden etkilenen kişi ve kayıt sayısının henüz bilinmediği, ihlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu, sağlık bilgileri ve kimlik verilerinin ihlalden etkilendiği ancak henüz konuya ilişkin detaylı bilginin bulunmadığı ve ilgili kişilerin, veri sorumlusunun web sitesi ve fiziksel deskler aracılığıyla veri ihlali hakkında bilgi alabilecekleri belirtilmiştir.
Karadeniz Holding Anonim Şirketi
Veri sorumlusu sıfatını haiz Karadeniz Holding Anonim Şirketi tarafından Kurul’a iletilen kişisel veri ihlali bildiriminde; ihlalin bir siber saldırı nedeniyle gerçekleştiğinin düşünüldüğü, konuya ilişkin detaylı bilginin henüz tespit edilememesi nedeniyle çalışmaların ve araştırmaların devam ettiği belirtmiştir. İhlalin başlama ve sona erme tarihlerinin belirsiz olduğu ve ihlalin 10.12.2024 tarihinde tespit edildiği, ilgili tarihte yaşanan internet kesintisi sonrası gerçekleştirilen rutin güvenlik kontrolü neticesinde ihlalin tespit edildiği, ihlalden etkilenen kişisel veri kategorilerine ilişkin olarak henüz bir tespit yapılamadığı, ihlalden etkilenen kişi ve kayıt sayısının tespitine ilişkin çalışmaların devam ettiği ve henüz bir tespit yapılamadığı belirtilmiştir.
GRC LEGAL Yorumu: Bu ayki veri ihlal bildirimlerinin siber saldırı kaynaklı olduğu ifade edilmiştir. Ancak her iki olayda da ihlale ilişkin detaylı bilgilere ulaşılamamış, ihlalin etkileri tam olarak belirlenememiştir. Bu durum, veri sorumlularının yaşanan veri ihlallerinde tespit ve müdahale süreçlerini daha etkin hale getirmesi gerektiğini göstermektedir.
Siber saldırılara karşı alınacak teknik tedbirlerin yanı sıra, idari tedbirler ile ihlal müdahale planlarının oluşturulmasının ve ilgili kişilere yönelik bilgilendirme süreçlerinin daha etkin yürütülmesinin önemini ortaya koymaktadır. Veri sorumluları için yalnızca şirket içerisindeki güvenlik önlemlerini artırmanın değil, aynı zamanda kriz yönetimi süreçlerini de etkin şekilde yönetme noktasında farkındalık kazanmaları önem arz etmektedir.
KURUL KARAR ÖZETLERİ
Veri dünyasının hızına ve güncel gelişmelere yetişebilmek adına ulusal düzeyde en önemli kaynak Kurul Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiş, birçok usul ve esasın yanı sıra Avrupa Genel Veri Koruma Tüzüğü (“GDPR”) dünyasından aşina olunan sıfat ve tabirlere burada yer verilmiştir. KVKK 22. maddesinde Kurul’un görev ve yetkileri sayılmış olup karar özetlerinin bağlayıcılığı bu hükme dayanmaktadır.
Kişisel Verileri Koruma Kurumu (“Kurum”), çocuk kullanıcılara ait gizli Instagram hesaplarının işletme hesabına dönüştürülerek kişisel verilerinin kamuya açık hale getirilmesi nedeniyle mahremiyetlerinin ihlal edildiği iddiaları üzerine resen inceleme başlattı. İnceleme sonucunda, çocukların işletme hesaplarındaki e-posta ve telefon bilgilerinin Instagram’ın HTML kaynak kodunda yer alması nedeniyle bu bilgilerin herkes tarafından erişilebilir hale geldiği ve çocukların çevrim içi risklere karşı savunmasız bırakıldığı tespit edildi.
Kurum, veri güvenliğini sağlama noktasında gerekli teknik ve idari tedbirleri almadığı ve yasal bildirim yükümlülüklerini yerine getirmediği gerekçesiyle 2.500.000 TL; yaş kriteri sorgulanmadan çocukların hesaplarının işletme hesabına dönüştürülmesi ve bu süreçte ebeveyn kontrolü sağlanmaması nedeniyle 9.000.000 TL olmak üzere Meta’ya toplamda 11.500.000 TL idari para cezası uygulanmasına karar verdi.
GRC LEGAL Yorumu: İşbu karar, sosyal medya platformlarının, özellikle çocukların güvenliğini sağlama konusunda daha fazla sorumluluk üstlenmesi gerektiğini vurgulamaktadır. Çocuk kullanıcıların bilgilerinin Instagram’ın HTML kaynak kodunda yer alması, yalnızca platformun güvenlik zafiyetine işaret etmekle kalmayıp çevrim içi risklere karşı yeterince koruma sağlanmadığını da göstermektedir. Uzun vadeli etkiler için bu tür cezaların, platformların daha etkin güvenlik önlemleri geliştirmesine ve çocuk kullanıcılar için daha sıkı düzenlemeler yapmasına yol açması gereklidir. Meta’nın yaşadığı bu durum, diğer teknoloji şirketleri için de bir uyarı niteliği taşımalı ve çocukların dijital mahremiyetinin korunması, yalnızca hukuki değil, etik bir zorunluluk olarak görülmelidir.
Ek olarak, Kurul’un kararlarını kendi internet sitesinde uzun süredir yayımlamaması, ciddi bir şeffaflık eksikliği olarak değerlendirilebilir. Bu durum, uygulayıcılar ve ilgili kişiler için hukuki belirsizlik yaratmakta, veri koruma hukukunun şeffaflık ilkesine aykırı bir durum ortaya çıkarmaktadır. Son dönemlerde Kurul’un kararlarına yalnızca Anadolu Ajansı gibi üçüncü taraf kaynaklar aracılığıyla ulaşılabiliyor olması hukukçular başta olmak üzere tüm ilgililer nezdinde belirsizliğe yol açmaktadır. Nitekim, bağlayıcılığı haiz Kurul kararları veri sorumluları bünyesinde yürütülen uyum çalışmalarının temelini oluşturmakta ve bu operasyonları şekillendirmektedir. Kurul’un güvenilir bir bilgi kaynağı teşkil edecek şekilde kararlarını kendi internet sitesinde yayımlayarak bu kararları ilk elden erişilebilir hale getirmesi, kişisel veri koruma mevzuatına uyum sürecinin etkin bir şekilde yürütülebilmesi için de gerekli görülmektedir.
Kurul’un 08/08/2024 tarihli kararında, bir e-ticaret platformunun satıcı portalında meydana gelen veri ihlali nedeniyle veri sorumlusu hakkında 3.250.000 TL idari para cezası uygulanmıştır. E-ticaret platformunda gerçekleşen veri ihlalinde, satıcıların başka platformlarda kullandıkları kullanıcı adı ve şifre bilgilerinin yetkisiz kişilerce ele geçirilerek bu platformda denenmesi sonucu bazı satıcı hesaplarına erişilmiştir. Veri ihlali 2-6 Şubat 2024 tarihleri arasında meydana gelmiş, veri sorumlusu ihlali ancak 6 Şubat 2024’te müşteriler ve satıcılardan gelen şikâyetlerle tespit edebilmiştir.
İhlal sonucunda, 673 satıcı etkilenmiş ve bu hesaplardan 107 tanesi üzerinde kötü niyetli işlemler (IBAN değişikliği, ürün listeleme, fiyat düşürme gibi) gerçekleştirilmiştir. Ek olarak, 7.202 müşterinin kişisel verileri yetkisiz kişilerce indirilmiş ve 1.213 müşterinin hesabında şüpheli siparişler oluşturulmuştur. Etkilenen veriler arasında kimlik, iletişim, finans ve müşteri işlem verileri bulunmaktadır. İhlalin, veri sorumlusunun sistemlerindeki bir güvenlik açığı ve yetersiz teknik önlemler nedeniyle meydana geldiği tespit edilmiştir. Bot trafiğini engelleme ve çift faktörlü kimlik doğrulama gibi güvenlik tedbirlerinin ihlalden önce alınmadığı, ihlalin tespiti için anormal giriş hareketlerinin zamanında fark edilmediği belirtilmiştir. İhlalden sonra alınan tedbirlerin daha önce uygulanmış olması gerektiği vurgulanmış ve veri sorumlusunun, Kanun’un 12. maddesi kapsamındaki yükümlülüklerini yerine getirmediği sonucuna varılmıştır.
GRC LEGAL Yorumu: İşbu karar, Kanun’un veri sorumlularına getirdiği veri güvenliğine ilişkin yükümlülüklerini net bir şekilde vurgulamaktadır. Veri sorumlusu şirketin çift faktörlü kimlik doğrulama, bot trafiğini önleme ve anomali tespiti[1] gibi proaktif güvenlik önlemlerini zamanında uygulamaması ihlalin gerçekleşmesine ve etkilerinin artmasına neden olmuştur. Günümüzde ana iştigal faaliyeti e-ticaret olan ve son kullanıcılara temas etmesi sebebiyle yoğun kişisel veri işleme faaliyetinde bulunan şirketlerin sıklıkla yaşanan siber saldırıları göz önünde bulundurması ve mümkün mertebe bu saldırıların önüne geçmesi önem arz etmektedir.
BİLGİ NOTLARI
Bilgi Notunun Hazırlanma Amacı
12.03.2024 tarihinde Resmî Gazete’de yayımlanarak Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile Kanun’da yapılan önemli değişiklikler, kabahatlerin zaman bakımından uygulanmasına ilişkin belirsizlikleri de beraberinde getirmiştir. Söz konusu değişiklikler başlıca ‘Özel Nitelikli Kişisel Verilerin İşlenmesi’ kenar başlıklı 6. madde ile ‘Kişisel Verilerin Yurt Dışına Aktarılması’ kenar başlıklı 9. madde kapsamında gerçekleştirilmiş olup bu değişiklikler 01.06.2024 tarihinde yürürlüğe girmiştir. Bununla birlikte, 9. maddenin birinci fıkrasının, yeni düzenleme ile birlikte 01.09.2024 tarihine kadar uygulanacağı kararlaştırılmıştır. Kurul tarafından yayımlanan bilgi notu, yapılan değişiklikler çerçevesinde Kanun’un zaman bakımından uygulanma biçimini açıklamayı amaçlamaktadır.
Zaman Bakımından Uygulanabilirlik
Kanun’daki zaman bakımından uygulanabilirliğe ilişkin düzenlemeler, 5326 sayılı Kabahatler Kanunu’nun “Zaman bakımından uygulama” başlıklı 5. maddesi çerçevesinde değerlendirilmelidir. İlgili madde, 5237 sayılı Türk Ceza Kanunu (“TCK”)’nda yer alan zaman bakımından uygulama hükümlerinin kabahatler için de geçerli olduğunu belirtmektedir. Bu kapsamda, Kabahatler Kanunu’nun yorumlanması bakımından TCK hükümleri dikkate alınacaktır.
Durum | Şikayet Zamanı | Fiilin Durumu | Uygulanan Kanun |
Fiil, kanun değişikliğinden önce gerçekleşmiş ve bitmiş. | Şikâyet, kanun değişikliğinden önce veya sonra yapılmış. | Ani hareketli fiil/kesilmiş mütemadi hareketli fiil (tamamlanmış.) | Lehe kanun uygulanır. |
Fiil Kanun değişikliğinden önce başlamış ve devam ediyor. | Şikâyet* kanun değişikliğinden önce veya sonra yapılmış. | Kesintisiz hareketli fiil (Devam eden). | Eğer fiil kanun değişikliğinden önce kesilmişse lehe olan kanun uygulanır. Eğer fiil kanun değişikliğinden sonra kesilmişse veya hala devam ediyorsa yeni kanun uygulanır. |
Fiil kanun değişikliğinden sonra gerçekleşmiş. | – | – | Yeni kanun uygulanır. |
- Genel İstatistikler
2024 yılında Kurum, 8.186 ihbar, şikâyet ve başvurudan 6.958’ini sonuçlandırmış; 281 veri ihlal bildiriminin 63’ünü kamuoyuna duyurmuştur. Yapılan incelemeler neticesinde 552 milyon 668 bin TL idari para cezası uygulanmış ve yurt dışına veri aktarımıyla ilgili 3 taahhütname onaylanmıştır. Ayrıca 1.345 standart sözleşme Kurum’a bildirilmiştir.
- İkincil Mevzuat ve Rehberler & Yayınlar
Kurum, 2024 yılında Kanun değişiklikleri akabinde “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” yayımlamıştır. Ek olarak, kişisel verilerin yurtdışına aktarılmasında uygun güvence yöntemleri olarak öngörülen dört adet standart sözleşme ile bağlayıcı şirket kurallarını düzenlemiştir. Standart sözleşmelerin Kurum’a bildirilmesini kolaylaştırmak amacıyla ise çevrim içi bir Standart Sözleşme Bildirim Modülü oluşturulmuştur.
Ek olarak, “Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Rehberi” ve “Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi” gibi sektörel rehberler yayımlanmıştır. Bunların yanı sıra, “Deepfake Bilgi Notu”, “Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu”, “6698 Sayılı Kanun Kapsamında Kabahatlerin Zaman Bakımından Uygulanması Bilgi Notu”, “Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu” ve “Kurula İletilen Şikâyet ve İhbarlarda Sık Yapılan Hatalar” da yayımlanmıştır.
- Farkındalık ve Eğitim Faaliyetleri
Kurum, kişisel veri bilincini artırmak amacıyla seminerler, zirveler, konferanslar ve etkinlikler düzenlemiştir. Çocuklara ve gençlere yönelik olarak “KVKK Okulda Projesi” ile dijital mahremiyet farkındalığı artırılmış; “Verican ile Kişisel Verileri Öğreniyorum” adlı çizgi roman serisi yayımlanmıştır. Hukuk fakültesi öğrencileriyle “Kişisel Verileri Koruma Gönüllüleri Yetiştirme Projesi” gerçekleştirilmiştir.
- Ulusal ve Uluslararası İş Birlikleri
Kurum, ulusal ve uluslararası düzeyde birçok iş birliği gerçekleştirmiştir. Bu kapsamda, KKTC Kişisel Verileri Koruma Kurulu, Kırgızistan Veri Koruma Kurumu ve Ticaret Bakanlığı ile protokoller imzalanmıştır. Ek olarak, İstanbul’da “Veri Koruma Otoriteleri İstişare Toplantısı” düzenlenmiş ve “Küresel Mahremiyet Asamblesi” gibi etkinliklere katılım sağlanmıştır.
- Genel Sonuçlar ve Gelecek Hedefleri
Kurum, mevzuat çalışmalarını geliştirerek, bireylerin haklarını güvence altına almış ve kurumların uyum süreçlerine rehberlik etmiştir. 2025 yılı için ise yapay zekâ ile ilgili yeni rehber ve projeler planlanmaktadır.
[1] Bir veride beklenmedik durumların veya kalıpların bulunmasını sağlayan bir tekniktir.