KVKK BÜLTEN- KASIM 2024
Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun ve Kanun’a bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2024 Kasım ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede bir adet veri ihlal bildirimi, “Sohbet Robotları Hakkında Bilgi Notu” yayımlanmıştır.
Ek olarak, geçtiğimiz günlerde Kurul Başkanı’nın yaptığı açıklamalara göre, mevcut durumda Kurul’a yalnızca 1.039 adet Standart Sözleşme bildirimi yapılmış olup ülkemiz genelinde faaliyet gösteren şirketlerin çoğunun Microsoft 365, G-Suite gibi e-posta alt yapı hizmetlerini kullandığı göz önüne alındığında, ilgili sayının oldukça az olduğu gözlemlenmektedir. Bu duruma, şirketlerin Kanun değişikliklerine adaptasyon süreci ve özellikle yurtdışında yerleşik veri alıcıları ile ilerleme adımlarının atılması noktalarında uygulama belirsizliğinden kaynaklı zorlukların neden olduğu kanaatindeyiz.
VERİ İHLAL BİLDİRİMİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Zello Inc.
Veri sorumlusu sıfatını haiz Zello Inc. tarafından Kurul’a iletilen kişisel veri ihlali bildiriminde, ihlalin; bir tehdit aktörünün, veri sorumlusu tarafından tutulan kişisel verilere erişim sağlaması neticesinde fidye yazılımı saldırısı ile gerçekleştiği, ihlalin tehdit aktörünün veri sorumlusu ile iletişime geçmesi ile tespit edildiği, ihlalden etkilenen ilgili kişi gruplarının, kullanıcılar, aboneler/üyeler ile müşteriler ve potansiyel müşteriler olduğu, ihlalden etkilenen kişisel verilerin, Zello hesabı oluştururken kullanıcılar tarafından sağlanan kullanıcı adı, karma şifre (MD5 algoritması ile şifrelenmiş), e-posta adresi ve telefon numarası olduğu, ihlalden etkilenen ilgili kişi sayısının 494.746 olduğu belirtilmiştir.
GRC LEGAL Yorumu: Veri sorumlularına getirilen ‘her türlü teknik ve idari tedbiri alma’ yükümlülüğü uyarınca; çalışanların farkındalığının artırılması vb. idari tedbirlerin alınması ile bilişim ağlarında hangi yazılımların ve servislerin çalıştığının kontrol edilmesi gibi teknik tedbirlerin alınmasının elzem olduğu bir kez daha vurgulanmalıdır.
BİLGİ NOTU
Sohbet Robotları Hakkında Bilgi Notu
Kurul tarafından 08.11.2024 tarihinde rehber niteliğinde bir çalışma yayımlanmış olup bu bilgi notunda sohbet robotlarının geliştirilmesi aşamasında başlangıçtan itibaren mahremiyet ve varsayılan mahremiyet yaklaşımlarının her aşamada dikkate alınması gerektiği ele alınmıştır.
GRC LEGAL Yorumu: Günlük hayatın merkezine oturan ve her birimizin başvurduğu bir araç haline gelen sohbet robotlarının temas ettikleri kişisel veriler ve bu konuda ne kadar az çalışma olduğu göz önünde bulundurulduğunda, bu bilgi notunun günümüz ihtiyaçlarına tam olarak hizmet edebilmesi adına sohbet robotları hakkında, kullanıcılara ve yapay zekâ alanında faaliyet gösteren kuruluşlara yönelik daha kapsamlı bir rehber hazırlanması beklenmektedir.