Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2024 Ocak ayında Kurul tarafından bir adet veri ihlal bildirimine ek olarak “Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Finansal Hesap Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri” Hakkında Kamuoyu Duyurusu ve “Taahhütname Başvurusu Hakkında Duyuru” yayımlanmıştır. Buna ek olarak, “Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber”, “Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi” ve “Deepfake Bilgi Notu” yayımlayan Kurul bu ay söz konusu konularda ilgililerine yol göstermeyi hedeflemiştir.

VERİ İHLAL BİLDİRİMİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2024 Ocak ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede bir adet veri ihlal bildirimi yayınlanmıştır.

Dirk Rossmann Mağazacılık Ltd. Şti.

Veri sorumlusu sıfatını haiz olan Dirk Rossmann Mağazacılık Ltd. Şti. tarafından Kurula iletilen veri ihlal bildirimlerinde özetle; İhlalin veri sorumlusuna ait internet sitesinde 27.12.2023 ile 09.01.2024 tarihleri arasında alışveriş yapan site kullanıcılarının verilerinin ele geçirilmesi ile gerçekleştiği, ihlalin site panelini yöneten üçüncü taraf teknoloji firması yetkilisinin parolasının ele geçirilmesi sonucunda gerçekleştiği, ihlalin veri sorumlusu tarafından gerçekleştirilen rutin güvenlik kontrolleri sırasında tespit edildiği belirtilmiştir.

İhlalden etkilenen kişi ve kayıt sayısının henüz tespit edilemediği, ihlalden etkilenen kişisel veri kategorilerinin henüz tespit edilemediği, ilgili kişilerin eposta ve çağrı merkezi aracılığıyla veri sorumlusundan kişisel veri ihlali hakkında bilgi alabileceği bilgilerine yer verilmiştir.

GRC LEGAL Yorumu

Veri sorumlusu bünyesinde gerçekleşen veri ihlalinin üçüncü taraf teknoloji firması bünyesinde gerekli teknik ve idari tedbirlerin alınmamasından kaynaklı meydana geldiği görülmektedir. Kişisel verilerin korunması mevzuatı kapsamında her aktörün somut olay bazında değerlendirilerek bir hukuki niteliğe kavuşturulması gerekiyor olsa da ilgili teknoloji firmasının yüksek bir ihtimalle veri işleyen sıfatını haiz olduğu söylenebilecektir.

Bununla birlikte, hizmet alınan iş ortağının hukuki niteliği ne olursa olsun veri sorumlularının söz konusu veri işleyenlerin/veri sorumlularının kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesinin sağlandığından emin olmaları KVKK madde 12/1, 2 uyarınca önem arz etmektedir.

REHBERLER

Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber Yayımlandı!

Kişisel Verileri Koruma Kurumu (“Kurum”), T.C. kimlik numarasının işlenmesi faaliyetlerinde, Kanun kapsamında dikkat edilmesi gereken hususları içeren “Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber”i yayımlamıştır.

Her ne kadar T.C. kimlik numarası özel nitelikli kişisel veriler arasında yer almıyor olsa da Rehber’de ilgili veri tipinin resmi, özgün ve değiştirilemez nitelikte olması ve ilgili kişilerin diğer kişisel verilerine ulaşılması noktasında kolaylık sağlaması sebebiyle veri sorumluları tarafından işlenmesi yolunun sıkça tercih edildiği, ancak bu veri işleme faaliyetlerinin de Kanun’a uygun olması gerektiği belirtilmiştir.

Kuruma iletilen ihbar ve şikâyetlerde yer alan iddiaların, Kanun’un 4’üncü maddesinde yer alan genel ilkelerden “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi”nin gözetilmediğine ilişkin olduğu görülmektedir.

Ölçülülük ilkesi kapsamında; kişisel veri işleme ile istenilen neticeye yaklaşılabiliyorsa yapılan işlemenin elverişli olduğu kabul edilmektedir. Gereklilik ölçütünün sağlanabilmesi için aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın olması hâlinde hakkı daha az sınırlayıcı olanın tercih edilmesi gerekmektedir. Orantılılık kriteri ise, araç ile ulaşılmak istenen amaç arasında bir orantının bulunmasını ifade etmektedir.

Örneğin; bir mobil uygulamada kişinin kimliğinin doğrulanması amacıyla T.C. kimlik numarasının işlenmesi elverişli bir yol olmakla birlikte, telefon numarasıyla doğrulama yapılabiliyorken T.C. kimlik numarası ile doğrulama yapılması, kişilerin kişisel verilerinin korunması hakkını daha fazla sınırlayan bir müdahale olacağından söz konusu işlemenin gerekli ve orantılı olduğundan bahsedilemez.

Yukarıdaki bilgiler kapsamında T.C. kimlik numarasının işlenmesinde ilgili kişilerin kişisel verilerinin korunması hakkına daha az müdahale eden yöntemlerin mümkün olup olmadığı gözetilmesi gerekmektedir. Bu değerlendirme sonucunda, eğer kişisel verilere daha az müdahale eden başka bir yöntem varsa bu yöntemlerin tercih edilmesi ve Kanun’a uygun bir biçimde kişisel veri işleme faaliyetinin gerçekleştirilmesi konusunda veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınması önem arz etmektedir.

İlaveten, işbu Rehber’de genel olarak ilgili mevzuatta T.C. kimlik numarasının işlenmesinin öngörüldüğü durumlar belirtilmiştir. Bu kapsamda büyük çoğunlukta, T.C. kimlik numarasının işlenmesi Kanun’un 5/2 maddesi uyarınca kanunlarda açıkça öngörülmesi hukuki sebebine dayalı olarak gerçekleştirilebilecektir.

Örneğin; mal veya hizmet alışverişi için Vergi Usul Kanunu kapsamında fatura düzenlenmesi ve Ticaret Sicili Yönetmeliği kapsamında bir ticari işletmenin sicile tescili halinde verilen tasdiknamede, gerçek kişilerin T.C. kimlik numarasının işlenmesi bu kapsamdadır.

Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi Yayımlandı!

Kurum tarafından “Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi”; seçmen kütüğünün düzenlenmesi, güncellenmesi, askıya çıkartılması, aday adaylığı, aday gösterme, kesin aday listelerinin ilanı, seçim propagandası, kamuoyu araştırmaları, oy verme vb. seçim faaliyetlerinde bulunan kamu idarelerine, siyasi partilere, adaylara ve seçmenlere Kanun kapsamındaki yükümlülüklerinin veya sahip olunan haklarının hatırlatılması amacıyla ilgili faaliyetlerde işlenen çeşitli kişisel verilere istinaden yayımlanmıştır.

İlgili Rehber kapsamında YSK’nın Kanun istisnaları uyarınca, siyasi partilerin ise 02.04.2018 tarih ve 2018/32 sayılı Kurul kararı uyarınca Veri Sorumluları Sicili’ne kayıt yükümlülüğü bulunmadığı belirtilmektedir. İlaveten, YSK’nın “zararın giderilmesini talep etme” hakkı hariç Kanun’un 11. maddesinde yer alan düzenlemeden muaf olduğu belirtilse de 298 Sayılı Kanun gereğince, ilgili kişilerin seçmen kütüklerinde yer alan bilgileri kapsamında düzeltme ve güncelleme talep edebilecekleri vurgulanmaktadır.

Deepfake Bilgi Notu Yayımlandı!

Kurum, deep learning (derin öğrenme) ve fake (sahte) kelimelerinden oluşturulmuş olan “Deepfake” (derin kurgu ya da derin sahte) teknolojisinin daha iyi anlaşılabilmesi amacıyla “Deepfake Bilgi Notu”nu hazırlamıştır. Bilgi notu muhteviyatında Deepfake’in tanımına, hangi amaçlar için kullanıldığına, oluşturduğu tehditlere, nasıl tespit edilebileceğine, kişilerin ve kurumların neler yapabileceğine ve bu noktada alınabilecek önlemlere ilişkin bilgilere yer verilmiştir.

Günümüzde yapay zekâ kullanımının artışı ile birlikte deepfake teknolojisinin yaratacağı risklerin de artacağı göz önünde bulundurulduğunda, söz konusu uygulamanın kamuoyu tarafından bilinmesi amacıyla yayımlanan bilgi notunun önemli bir adım niteliğinde olduğu söylenebilecektir.

Bilgi notunda, Deepfake içeriklerin yayılmasının ve yanlış bilginin önüne geçmek için gerçek kişilere düşen önemli sorumlulukların olduğu vurgulanmaktadır. Özellikle Deepfake videoların genellikle yüz ve ses verisi kullanılarak oluşturulduğu düşünüldüğünde, sosyal medya ve benzeri platformlarda kişisel verilerin paylaşımına dikkat edilmesi gerektiği önemle belirtilmektedir. Bilgi notu, birçok deepfake uygulamasının kullanım amaçlarının kontrol edilmesi gerektiğini belirtmekte ve kurumların siber güvenlik operasyonlarını ve şirket içi iletişim kanallarını güçlendirmeleri konusunda öneriler sunulmaktadır.

KAMUOYU DUYURULARI

Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Finansal Hesap Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri” Hakkında Kamuoyu Duyurusu

Yurt dışında ikamet eden Türkiye Cumhuriyeti vatandaşları, finansal hesap verileri başta olmak üzere kişisel verilerinin başta Avrupa Birliği üyesi ülkeler olmak üzere diğer ülkelerin kurum ve kuruluşlarıyla paylaşılmamasına ilişkin Kurum’a pek çok sayıda başvuruda bulunmuşlardır.

Kurum’a intikal ettirilen dilekçelerde; T.C. Gelir İdaresi Başkanlığı ve hesap bilgilerinin bulunduğu bankalara Kanun kapsamında başvuruda bulunularak bilgi talep edildiği ancak başvurulara ilgili veri sorumlularınca yeterli cevap verilmediği ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.

Finansal hesap verileri ülkemizin de dâhil olduğu Ekonomik Kalkınma ve İşbirliği Teşkilatı’na üye ülkeler tarafından 3 Kasım 2011 tarihinde imzalanan ve 03.05.2017 tarihli ve 7018 sayılı Kanun ile onaylanması uygun bulunan “Vergi Konularında Karşılıklı İdari Yardımlaşma Sözleşmesi” ile bu sözleşme kapsamında 2017 yılında imzalanan ve 31.12.2019 tarihli ve 30995 sayılı Resmi Gazete’de yayımlanan Finansal Hesap Bilgilerinin Otomatik Değişimine İlişkin Çok Taraflı Yetkili Makam Anlaşması (“Anlaşma”) çerçevesinde yurt dışına aktarımının söz konusu olduğu ifade edilmiştir. Anlaşma kapsamında Türkiye’de otomatik bilgi değişimi için bilgileri toplamaya ve paylaşmaya yetkili makam Gelir İdaresi Başkanlığı’dır.

Mevcut durum Kurul tarafından değerlendirilmiş olup 28/12/2023 tarihli ve 2023/2199 sayılı karar ile açıklığa kavuşturulmuştur:

  • Anayasa’nın 90. maddesi “Usulüne göre yürürlüğe konulmuş Milletlerarası anlaşmalar kanun hükmündedir. Usulüne göre yürürlüğe konulmuş temel hak ve özgürlüklere ilişkin milletlerarası anlaşmalarla kanunların aynı konuda farklı hükümler içermesi nedeniyle çıkabilecek uyuşmazlıklarda milletlerarası anlaşma hükümleri esas alınır.” hükmünü amirdir,
  • Kanun’un 9/5. maddesi “Kişisel veriler uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilir” ve 9/6. maddesi“ Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmünü amirdir,
  • Anılan maddeler uyarınca Anlaşma kapsamında yurtdışına yapılacak kişisel veri aktarımlarının Kanun kapsamında hukuka aykırılık teşkil etmeyeceği ve kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması durumunda Kanun’un 28/2/ç bendi uyarınca veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen madde 10 ile zararın giderilmesini talep hakkı hariç ilgili kişinin haklarına ilişkin 11. maddenin uygulanmayacağının hüküm altına alındığı dikkate alınarak Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.

Kurum, Yurt Dışına Kişisel Veri Aktarımına İlişkin Yeni Bir Taahhütname Başvurusunu Onayladı!

Kurum’un 29.01.2024 tarihinde yaptığı duyuruda; ”Celltrion Healthcare İlaç Sanayi ve Limited Şirketi” tarafından yurtdışına kişisel veri aktarımı yapılması hususundaki Taahhütname başvurusu, Kurul tarafından Kanun’un 9/2/b bendi kapsamında değerlendirilmiş ve 25.01.2024 tarihinde söz konusu veri aktarımına izin verilmiştir. Böylece Kanun kapsamında şu ana kadar Türkiye’den yurt dışına kişisel veri aktarımına dair onay verilen taahhütname sayısı da 8’e yükselmiştir