KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

Kişisel Verileri Koruma Günü olan 7 Nisan’da Kişisel Verilerin Koruması Kanunu’nun yürürlüğe girişinin altıncı yılı kutlandı. Kurul tarafından yapılan açıklamada kişisel verilerin önemine dikkat çekmek, veri koruma bilincini yaygınlaştırmak ve bu bilinci gelecek nesillere aktarmak günün öncelikli amaçları olarak sayıldı.

7 Nisan Kişisel Verileri Koruma Günü Etkinliği’nin “Dijital Çağda Mahremiyet: Çocukların Kişisel Verilerinin Korunması” paneli ile sonlandırılmasının, GDPR uygulamasında yer alan ancak KVKK’da bulunmayan çocuğun rızası ve ebeveyn icazeti gibi hususların yeni güncellemeyle mevzuata dahil edilebileceği izlenimini uyandırdığı kanaatindeyiz.

Etkinlikte dijital çağdaki teknolojik gelişmelerin önemi ile yapay zekâ ve özellikle son zamanlarda metaverse gibi gelişme sürecinde olan teknolojilerde de temel yaklaşımın algoritmalar kişiye seçimlerinde yardımcı olabileceği fakat son kararı verenin kişinin kendisi olması gerektiği vurgulanmıştır.

KAMUOYU DUYURUSU

1 Nisan 2022 tarihli Kamuoyu Duyurusu ile VERBİS kayıtlarına ve yaptırımlarına ilişkin açıklamalarda bulunulmuştur.

Bilindiği üzere KVKK m. 16 kamuya açık Veri Sorumluları Sicili tutulacağını düzenlemektedir. VERBİS olarak adlandırılan bu sicile kayıt Kurul tarafından belirlenen ve ilan edilen süre içerisinde yapılmak zorundadır.

Bu hükme istinaden Kurul’un 11/03/2021 tarihli ve 2021/238 sayılı Kararında belirtilen veri sorumlularına Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için 31.12.2021 tarihine kadar süre verilmiştir.

KVKK m. 18 hükmü gereği Sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen idari yaptırım uygulanabilecektir. Bu kapsamda Sicile kayıt ve bildirim yükümlülüğünü yerine getirmediği tespit edilen veri sorumluları hakkında KVKK m. 18 uyarınca idari yaptırım uygulanmasına başlanmıştır.

Söz konusu uygulama ile altıncı yılını kutladığımız KVKK’da adaptasyon sürecinin bittiği ve yaptırım sürecinin başladığı yorumunu yapmak yanlış olmayacaktır. İlk aşamada VERBİS kayıt yükümlülüğünü ortaya koyan Kurul, ilerleyen günlerde kuşkusuz diğer yükümlülükler için de re’sen yaptırım uygulamasına geçecektir.

İLKE KARARI

Belediyelerin Ödeme ve Borç Sorgulama Hizmetleri Hakkında Kurul’un 21/04/2022 Tarih ve 2022/388 Sayılı İlke Kararı

Belediyelerin çevrimiçi olarak sunmuş olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ihbar edilerek, konunun KVKK kapsamında incelenmesi talep edilmiştir.

Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayılmaktadır. Kişilerin bilgilerine kolayca erişilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine bu riski önemli ölçüde azaltacak ya da ortadan kaldıracak iki faktörlü doğrulama yöntemleriyle sorgulamaların uygulamaya konulması önem arz etmektedir.

Belediyeler tarafından emlak vergisi ödeme/hızlı ödeme veya borç sorgulama vb. sayfalar aracılığıyla çevrimiçi olarak sunmuş oldukları hizmetler kapsamında KVKK m. 12’de yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulamanın TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı değerlendirilmektedir.

Bu değerlendirmeler ışığında; Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile KVKK m. 12 kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine, önlemleri almayan belediyeler hakkında iletilecek şikayet/ihbarlar doğrultusunda ilgili belediye hakkında m. 18 hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine, belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde m. 12 kapsamında “üyelik ve şifre” ya da “çift faktörlü doğrulama” kullanılması gerektiği hususunda m. 15/6. fıkrası kapsamında İlke Kararı alınarak Resmi Gazetede ve Kurumun internet sayfasında yayımlanmasına oybirliği ile karar verilmiştir.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2022 Nisan ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede beş adet veri ihlal bildirimi yayınlanmıştır.

Yıldızlar Yatırım Holding AŞ, Yıldız Demir Çelik Sanayi AŞ, Yıldız Entegre Ağaç Sanayi AŞ, İstanbul Gübre Sanayi AŞ (İGSAŞ)

Kimliği belirsiz siber saldırganların, henüz tespit edilemeyen bir yöntem ile veri sorumlularına ait sunucuları şifrelediği; fiziksel sunucuyu yönetmekte kullanılan yönetici parolasını değiştirerek sunucuya erişimi imkansız hale getirdiği; dosya sunucusunun olduğu alana fidye talep etmek için not bıraktığı, veri sorumlularına ait e-fatura, e-defter, muhasebe, lojistik, stok, personel, insan kaynakları, üretim, yönetim ve benzeri sistemlerin tamamına ilişkin verilerin şifrelendiği; şifrelenen tüm dosyaların kullanılamaz ve erişilemez halde olduğu, beyan edilmiş olup, ihlalden etkilenen kişisel veri kategorilerine, ilgili kişi gruplarına ve kişi sayısına ise bildirimde yer verilmemiştir.

Villacım Emlak Turizm İnşaat Sanayi ve Ticaret Limited ŞTİ.

Veri sorumlusuna ait internet sitesi (www.villacim.com.tr) üzerinden Cross Site Scripting saldırısı gerçekleştirilerek müşterilere ait telefon numarası bilgilerinin ele geçirildiği ve saldırganlar tarafından müşterilere bir kampanya mesajı gönderildiği, akabinde veri sorumlusundan fidye talebinde bulunulduğu, veri sorumlusu tarafından ilgili kişilere ait ad, soyad, TC kimlik numarası, telefon ve adres bilgilerinin işlendiği belirtilmiş olup saldırganların elinde hangi verilerin olduğunun tam olarak tespit edilemediği, ihlalden etkilenen ilgili kişi sayısının tahmini 35.956, kişi grubunun müşteriler olduğu, bilgilerine yer verilmiş olup konuyla ilgili araştırmalar devam etmektedir.

Paketman E-Ticaret Sanayi Ticaret A.Ş.

Siber saldırganlar tarafından veri sorumlusuna ait veri tabanı sistemine bir siber saldırı gerçekleştirilerek, veri tabanı içerisindeki verilerin silinmesi, söz konusu verilerin saldırganlarca ele geçirilmesi ve sonrasında fidye talep edilmesi suretiyle veri ihlali oluştuğu, ihlalden etkilenen kişisel verilerin kimlik (ad, soyad), iletişim (e-posta, telefon) ve lokasyon (adres) verileri, ilgili kişi sayısının 1.362, kişi grubunun kullanıcılar olduğu bilgilerine yer verilmiş olup konuyla ilgili araştırmalar devam etmektedir.

Magna Ventures Yazılım ve Teknoloji Girişimleri Ticaret A.Ş.

Veri sorumlusu ürünlerinden biri olan ve internet erişimi ile farklı lokasyonlarda, internete bağlı olarak kişiye özel çalışma alanı sunan Poda Mobil Uygulamasına yetkisiz kişilerce erişildiği, sisteme yetkisiz erişim sağlayan kişilerce veri tabanı şifresinin ele geçirildiği, 20.04.2022 tarihinde tespit edilen ihlalin ne zaman gerçekleştiğinin bilinmediği, uygulamaya üye olan kullanıcıların ad, soyad, e-posta adresi ve telefon numaralarına erişildiği, ihlalden etkilenen kişi grubunun üyeler olduğu ve 7823 üye kaydının bulunduğu, ihlalden etkilenen kişilerin olduğunun tespit edilemediği, tespit edilmesi halinde gerekli bildirimlerin yapılacağı bilgilerine yer verilmiş olup, konuya ilişkin inceleme devam etmektedir.

Keyubu İnternet ve Bilişim Hizmetleri

Veri sorumlusunun kullandığı sunucular üzerinde kurulu OnatWeb Auto VM sanal sunucu yönetimi yazılımında meydana gelen bir açık nedeniyle siber saldırı düzenlendiği ve tüm sunuculardaki verilerin imha edildiği, ihlalden etkilenen ilgili kişi grubunun müşteriler, kişisel veri kategorilerinin kimlik, iletişim, müşteri işlem ve işlem güvenliği bilgileri olduğu, Keyubu üzerinden web hosting ve sanal sunucu alan kullanıcıların burada barındırdığı verilerin de imha edildiği ancak içeriğinde kaç kişiye ilişkin ne tür verilerin bulunduğunun veri sorumlusunca tespit edilemediği, bilgilerine yer verilmiş olup konuyla ilgili araştırmalar devam etmektedir.