KVKK BÜLTEN- ŞUBAT 2025
Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun ve Kanun’a bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2025 Şubat ayında Kişisel Verileri Koruma Kurumu (“Kurum”) internet sitesi olan www.kvkk.gov.tr alan adlı sitede üç adet veri ihlal bildirimi ve Yurt Dışına Kişisel Veri Aktarımında Kullanılacak Standart Sözleşmelerde Dikkat Edilmesi Gereken Hususlara İlişkin Kamuoyu Duyurusu (“Duyuru”) ile birlikte “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber” yayımlanmıştır.
Ek olarak, Şubat ayı içerisinde Anadolu Ajansı’nın internet sitesi olan www.aa.com.tr alan adlı sitede; Kurum Başkanı Faruk Bilir’in, alışveriş yaparken kasada telefon numarası istenen vatandaşların öncesinde bilgilendirilmesine ilişkin yaptığı açıklamalar yayımlanmıştır.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Organik Haberleşme Teknolojileri Bilişim Sanayi Ticaret Limited Şirketi
Veri sorumlusu sıfatını haiz olan Organik Haberleşme Teknolojileri Bilişim Sanayi Ticaret Limited Şirketi tarafından Kurul’a iletilen veri ihlal bildirimine göre ihlal, 01.02.2025 tarihinde başlamış ve aynı gün sona ermiştir. Veri sorumlusu, aynı gün içerisinde WhatsApp hattına bilinmeyen bir kişi tarafından gönderilen ve verilerin ele geçirildiğini belirten bir mesajla ihlali tespit etmiştir.
Söz konusu mesajda, verilerin geri verilmesi karşılığında para talep edilmiştir. Üçüncü kişi, veri sorumlusunun WhatsApp hattı üzerinden, veri sorumlusuna ait örnek verileri paylaşarak iddiasını desteklemiştir.
Yapılan incelemeler sonucunda, ihlalden etkilenen ilgili kişi gruplarının aboneler ve üyeler olduğu belirlenmiştir. İhlalden etkilenen kişisel verilerin kullanıcı adı, ad, soyadı ve iletişim bilgisi olduğu tespit edilmiştir. Toplamda 1090 kişinin kişisel verileri bu ihlalden etkilenmiştir.
Afyon Kocatepe Üniversitesi
Veri sorumlusu sıfatını haiz olan Afyon Kocatepe Üniversitesi tarafından Kurula iletilen veri ihlal bildirimine göre ihlal, veri işleyene ait system_admin adlı kullanıcı hesabının parolasının kullanılmasıyla uzaktan eğitim sisteminde yer alan verilere yetkisiz erişim sağlanması sonucu gerçekleşmiştir. İhlal, 20.01.2025 tarihinde başlamış ve aynı gün içerisinde tespit edilip sona erdirilmiştir. Yetkisiz üçüncü kişinin, uzaktan eğitim sistemi üzerinden yaptığı duyuruyla ihlal fark edilmiştir.
İhlalden etkilenen kişisel verilerin; kullanıcıların T.C. kimlik numaraları, kurum sicil numaraları, sürekli eğitim merkezinde kayıtlı kursiyerlerin e-posta adresleri ile uzaktan eğitim amaçlı kullanılan görsel ve işitsel kayıtlar olduğu düşünülmektedir. İlgili kişi grupları arasında çalışanlar, kullanıcılar, öğrenciler ve müşteriler yer almaktadır. Bu ihlalden yaklaşık olarak 26.438 kişinin etkilendiği belirtilmiştir.
Asilkar Hızlı Kargo Taşımacılık Ticaret Anonim Şirketi
Veri sorumlusu sıfatını haiz Asilkar Hızlı Kargo Taşımacılık Ticaret Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildirimine göre; yetkisiz kişi veya kişiler tarafından sistem kullanıcılarının kullanıcı adı ve parola bilgileri ele geçirilerek hizmet alınan Ajannet Bilişim Hizmetleri Sanayi Ticaret Ltd. Şti.’ye ait terminal sunucularına uzak bağlantı ile erişim sağlanmıştır.
İhlal, 30.01.2025 tarihinde başlamış ve 03.02.2025 tarihinde WhatsApp üzerinden gönderilen bir mesaj ile tespit edilmiştir. Bu saldırı sonucunda yalnızca dosya ismi olarak kullanılmış olan 16 çalışan/kullanıcının ad ve soyadı bilgilerine yetkisiz erişim sağlanmıştır. Ajannet Bilişim Hizmetleri Sanayi Ticaret Ltd. Şti., veri sorumlusunu “ alınan dataların içerisinde kargo alıcı adı, soyadı, adresi ve gönderi içeriği bilgilerinin bulunabileceği…” konusunda bilgilendirmiştir.
GRC LEGAL YORUMU
İlgili veri ihlal bildirimleri, Türkiye’de kişisel veri güvenliğinin farklı sektörlerde nasıl ihlal edildiğini ve şirketlerin bu ihlallere karşı nasıl tepki verdiğini göstermesi açısından önemli örneklerdir. Yaşanan ihlaller; haberleşme teknolojileri, eğitim ve lojistik sektörlerinde meydana gelmiş ve toplamda on binlerce kişiyi etkileyerek kişisel verilerin ne kadar hassas ve korunmaya muhtaç olduğunu bir kez daha ortaya koymuştur.
Tüm veri ihlallerinde ortak bir eylem olarak yetkisiz erişim göze çarpmaktadır. Bu durum, şirketlerin güçlü parola politikaları uygulaması, iki faktörlü kimlik doğrulama yöntemlerini kullanması ve erişim loglarını düzenli olarak denetlemesi gerektiğini de hatırlatmaktadır. Özellikle yönetici hesaplarının güvenliği, bu tür ihlallerin önlenmesinde kritik rol oynayabilecektir.
Ancak, bu ihlaller incelendiğinde yalnızca veri sorumlularının değil, veri işleyenlerin de bu süreçte önemli bir rol oynadığı görülmektedir. Nitekim, Asilkar Hızlı Kargo Taşımacılık olayında, hizmet alınan Ajannet Bilişim Hizmetleri Sanayi Ticaret Ltd. Şti.’nin terminal sunucularına sızılması, veri işleyenlerin güvenlik önlemlerini yeterince almadığında veri sorumlularının da risk altında olabileceğini ortaya koymaktadır.
Benzer şekilde, Afyon Kocatepe Üniversitesi’nin uzaktan eğitim sistemine yapılan yetkisiz erişimin, veri işleyene ait yönetici hesabı üzerinden gerçekleştirildiği anlaşılmaktadır. Bu noktada, veri sorumluları ile veri işleyenlerin müşterek sorumluluğu göz ardı edilmemelidir. Veri işleyenlerin yalnızca teknik hizmet sağlayıcı oldukları değil, veri güvenliğinin sağlanması noktasında KVKK’ya uyum yükümlülüğü bulunan taraflar olduğu da unutulmamalıdır.
Bu tür ihlallerin önlenmesi için; veri sorumlusu şirketlerin yalnızca kendi güvenlik politikalarını oluşturması yeterli olmayıp veri işleyenlerle yürütülen sözleşmesel süreçlerde teknik ve idari tedbirlerin detaylı şekilde düzenlenmesi, düzenli güvenlik denetimlerinin yapılması ve ihlal durumunda taraflar arasındaki rücu ilişkisinin net şekilde belirlenmesi gerekmektedir. Aksi takdirde, veri işleyenlerden kaynaklanan herhangi bir güvenlik açığı, veri sorumlularını da hukuki ve mali açıdan etkileyebilecektir.
KAMUOYU DUYURUSU
Yurt Dışına Kişisel Veri Aktarımında Kullanılacak Standart Sözleşmelerde Dikkat Edilmesi Gereken Hususlara İlişkin Kamuoyu Duyurusu
KVKK madde 9 uyarınca, kişisel verilerin yurt dışına aktarılmasında kullanılacak standart sözleşmelerin, imzalandıktan sonra beş iş günü içinde Kurum’a bildirilmesi gerekmektedir. Kurum, standart sözleşmelerin incelenmesi sonucunda dikkat edilmesi gereken hususları belirlemiş ve kamuoyuyla paylaşmıştır:
- Öncelikle, sözleşmenin geçerli olabilmesi için aktarım tarafları veya bu tarafları temsile yetkili kişiler tarafından imzalanması zorunludur. Eksik imza bulunması halinde sözleşme geçersiz sayılacaktır. Ek olarak, atılan imzaların Türk Borçlar Kanunu’na uygun olması gerekmektedir. Eğer sözleşme yabancı dilde hazırlanmışsa hem Türkçe metin hem de yabancı dildeki metinde imzaların yer alması zorunludur. Çift sütunlu sözleşmelerde dahi Türkçe metnin yer aldığı sütunda imzalar mutlaka bulunmalıdır.
- Standart sözleşmeleri imzalayan kişilerin temsil ve imza yetkilerinin olduğunu gösteren tevsik edici belgeler, sözleşme ile birlikte Kurum’a sunulmalıdır. Bu belgelerde, imzacıların isimlerinin yer almaması durumunda sözleşme yetkisiz kişilerce imzalanmış kabul edilmekte ve geçersiz sayılmaktadır. Ek olarak, taraf isimlerinin eksiksiz olması ve tevsik edici belgelerdeki isimlerle tutarlı olması gerekmektedir.
- Standart sözleşmelerin, imzaların tamamlanmasından itibaren beş iş günü içinde fiziki olarak, kayıtlı elektronik posta (KEP) adresi aracılığıyla veya Standart Sözleşme Bildirim Modülü kullanılarak Kurum’a bildirilmesi gerekmektedir. Bildirimin süresinde yapılıp yapılmadığını belirlemek için, her iki tarafın da imza tarihlerini sözleşme metni üzerinde belirtmeleri zorunludur. Ek olarak, Kurum’a gönderilen belgelerde eksiklik olmaması için tüm sayfaların eksiksiz eklenmesi gerekmektedir.
- Yabancı ülkede düzenlenmiş resmi belgeler, ülkemizde geçerli olabilmesi için apostil şerhi taşımalı veya Türkiye’nin ilgili ülkedeki konsoloslukları tarafından onaylanmalıdır. Eğer belgeler yabancı dildeyse, noter onaylı Türkçe çevirileriyle birlikte sunulması zorunludur.
- Standart sözleşmelerde, tarafların imzaları daha ileri bir tarihte tamamlanmış olsa bile, sözleşmenin geçmişe dönük olarak yürürlüğe gireceğine dair herhangi bir ibareye yer verilmemelidir. Ek olarak, sözleşme metninde yalnızca seçimlik veya alternatif içerikli maddelerde değişiklik yapılabilecektir. Bunun dışındaki herhangi bir ekleme, çıkarma veya değişiklik, sözleşmenin geçerliliğini riske atacaktır.
GRC LEGAL YORUMU
Duyuru’da kişisel verilerin yurt dışına aktarımında kullanılan standart sözleşme sürecinde izlenmesi gereken prosedürler belirtilmiştir. Uygulamada standart sözleşme süreci ile ilgili hala belirsizlikler olmasına karşın yakın zamanda yayımlanan Kişisel Verilerin Yurtdışına Aktarılması Rehberi (“Rehber”) ve işbu Duruyu ile, Kurum standart sözleşme hazırlama süreçlerine açıklık getirme çabasındadır.
Rehber’de ele alınan konular ile benzer içerikler içeren Duyuru kapsamında; standart sözleşmelerin eksiksiz şekilde hazırlanması ve imzalanması süreçlerinde veri sorumluları ve veri işleyenler oldukça dikkatli davranmalıdır.
Bu noktada, standart sözleşmede yer alan imzaların geçerli olması, tarafların yetki belgelerinin doğru şekilde sunulması ve standart sözleşmedeki tüm bilgilerin tutarlı olması, olası hukuki sorunları engellemek ve standart sözleşmelerin geçerliliğini sağlamak adına kritik adımlar olarak kabul edilebilecektir.
Özellikle, imza tarihleri ve standart sözleşme bildirim süresi gibi detayların takibi, sürecin doğru şekilde ilerlemesini ve Kurum tarafından standart sözleşmelerin kabul edilmesini sağlayabilecektir.
KVKK değişiklikleri 2024 yılı Haziran ayında yürürlüğe girmiş; bununla birlikte sürecin netleştirilmesine yönelik ikincil düzenlemeler geçtiğimiz aylarda yayımlanmıştır. Bu noktada, birçok veri sorumlusu ve/veya veri işleyen tarafından hazırlanan standart sözleşmelerin Rehber’de ve Duyuru’da belirtilen şartlara uygun hazırlanmamış olduğu kaçınılmaz olup mevcut duruma kadar Kurum’a bildirilen standart sözleşmelerin Kurum tarafından kabul edilip edilmeyeceği merak konusudur.
GÜNDEM HABERİ
Kurum Başkanı Faruk Bilir: “Alışverişte Müşterilerden Telefon Numarası Talebi Öncesinde Bilgilendirme Şart” İfadesini Kullandı!
TBMM Yapay Zekâ Araştırma Komisyonu’nda kişisel veri ihlallerine ilişkin önemli değerlendirmelerde bulunan Kurum Başkanı Faruk Bilir, alışveriş sırasında telefon numarası istenmesinin Kurum’a en sık iletilen şikayetlerden biri olduğunu belirtmiştir.
Alışveriş esnasında vatandaşlardan telefon numarası talep edilirken, tüketicilere kullanım amacının açık ve net bir şekilde belirtilmesi gerektiğini ifade etmiştir. Bilir, kişisel verilerin işlenmesinin kanunen belirlenmiş sekiz şarta bağlı olduğunu ve bu şartlardan birine dayanmayan veri işlemenin hukuka aykırı olacağını belirtmiştir.
Ek olarak, Kurum’un yerleşik içtihadına göre, spor merkezleri gibi işletmelerde parmak izi, retina, göz veya avuç içi taraması gibi biyometrik veri işleme uygulamalarının ölçüsüz olduğu ve bu tür veri işlemeden kaçınılması gerektiği de tekrar ifade edilmiştir.
GRC LEGAL Yorumu
Kurum Başkanı Faruk Bilir’in açıklamaları, günlük hayatta sıkça karşılaşılan kişisel veri taleplerine ilişkin farkındalığı artırma açısından büyük önem taşımaktadır. Alışveriş sırasında telefon numarası istenmesi konusunda yapılan uyarılar, Kurum’un daha önce yayımladığı rehberler, kamuoyu duyuruları ve Kurul kararlarıyla da sıkça vurgulanan bir konudur.
Bilindiği üzere, veri sorumlularının, kişisel veri işleme faaliyetine başlamadan önce ilgili kişiyi aydınlatmaları ve söz konusu kişisel veri işleme faaliyetini mevzuatta yazılı işleme şartlarından birine dayandırmaları, gerektiğinde ise açık rıza almaları gerekmektedir. Bu bağlamda, veri sorumlularının bilgilendirme yükümlülüğü baki olsa da faaliyet bazında dayanılacak hukuki sebep, alışveriş esnasında talep edilen telefon numarasının hangi amaçlarla kullanılacağına yönelik olarak değişkenlik gösterecektir.
Kurum Başkanı’nın vurguladığı gibi, alışverişin bir uzantısı olarak devam eden süreçlere yönelik kişilerin bilgilendirilmesi gerekmekle birlikte müşterilere ticari elektronik ileti gönderiminin sağlanabilmesi için bu bilgilendirmeye ek olarak ilgili kişilerin açık rızaları temin edilmelidir. İlgili kişilerin reklam iletileri için bilgilendirilmeden ve telefon numarası temininin açık rızaya işaret edeceği düşüncesinden hareketle süreci yürütmeleri hukuka aykırılık teşkil edecektir. Nitekim, açık rızanın bilgilendirmeye ve ilgili kişilerin özgür iradelerine dayanan bir kavram olduğu unutulmamalıdır.
Bu haberle birlikte, konuyla bağlantılı olarak Kurum tarafından yayımlanan “Mağazalarda Alışveriş Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesine İlişkin Kamuoyu Duyurusu” hatırlanabilecektir.
İlgili duyuruda, mağazalarda gerçekleştirilen alışverişe ilişkin kasa işlemleri esnasında ilgili kişilere SMS ile doğrulama kodu gönderildiği ve ödemelerinin tamamlanması, fatura oluşturulması vb. süreçler için gerekli olduğu gerekçesi ile söz konusu kodun kasa görevlisine bildirilmesinin istenildiği, ancak bahse konu işlemin akabinde ilgili kişilere söz konusu mağaza faaliyetleri ile ilgili ticari elektronik ileti gönderildiği iddialarına ilişkin olarak bir bilgilendirmede bulunulmuştur. Dolayısıyla Kurul, hileye dayalı, açık rızanın unsurlarını taşımayan ticari elektronik ileti gönderimlerinin hukuka aykırılığını pek çok kez vurgulamıştır.