Kişisel Verilerin Korunmasında Haftanın Özeti
Kanun Tasarısı'nda KVKK için birtakım değişiklikler öngörülüyor
Bazı Vergi Kanunları ile Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun Tasarısı, Kişisel Verilerin Korunması Kanunu'na ilişkin birtakım değişiklikler getiriyor.
Kanun Tasarı'sının 123-126 maddeleri uyarınca, veri siciline kaydolacak veri sorumlularından sicil ücreti alınması öngörülüyor. Ayrıca bu maddelerde, KVK Kurumu'nda çalışacak uzmanların yeterliliklerine ilişki şartlar getiriliyor.
Working Party Article 29 veri etki analizine ilişkin kılavuzunu yayınladı
Çalışma Grubu madde 29, AB Genel Veri Koruma Regülasyonu uyarınca öngörülen veri etki analizlerinin (data impact assessments) nasıl yapılacağına dair kılavuzunu 4 Nisanda yayınlamıştı. Çalışma Grubu 4 Ekimde ise kılavuzunu revize ederek tekrar yayınladı (PDF).
İrlanda Yüksek Mahkemesi SCC'nin geçersizlik talebini değerlendirdi (Schrems 2.0)
Avusturya vatandaşı Maximilian Schrems, Facebook İrlanda Şirketine karşı İrlanda Veri Koruma Kurumu'na şikayette bulunmuştu ve sonucunda Avrupa Adalet Divanı'nın kararıyla ABD ve AB ülkeleri arasında atlantik ötesi veri transferini düzenleyen Safe Harbor Anlaşması geçersiz ilan edilmişti.
Safe Harbor Anlaşmasının geçersiz olmasıyla, AB-ABD Gizlilik Kalkanı devreye girene kadar Standart Sözleşme Maddeleri'nin uygulanabileceği kararı alınmıştı. Ancak İrlanda Veri Koruma Kurumu ara dönemde kullanılacak olan Standart Sözleşme Maddeleri'nin (SCC) AB'nin kişisel verilerin korunması kuralları bakımından yetersiz olduğunu iddia ediyor. İrlanda Veri Koruma Kurumu vs Schrems uyuşmazlığı kararı (Schrems 2.0)
Bu sebeple İrlanda Veri Koruma Kurumu İrlanda Yüksek Mahkemesi'nden SCC'nin geçerliliğini incelemesini talep etti. Mahkeme, ulusal veri koruma kurumlarının uluslararası bir anlaşma olan SCC'yi, yeterli hukuki koruma sağlamadığı gerekçesiyle, durdurmaya veya yasaklamaya yetkisi olup olmadığına ilişkin kararın Avrupa Birliği Adalet Divanı tarafından verilmesi gerektiği sonucuna ulaştı.Mahkeme bu ve konuyla ilgili diğer meseleler için sorular hazırlayarak Avrupa Birliği Adalet Divanı'ndan görüş alacak.
ICO'dan GDPR kapsamında veri sorumlusu ve işleyenle yapılacak sözleşmelere ilişkin rehber
Birleşik Krallık Veri Koruma Kurumu (ICO), Genel Veri Koruma Regülasyonu kapsamında yer alan veri sorumluları ile veri işleyenler arasındaki sözleşmelere ilişkin rehberini yayınladı (PDF). Rehber, bu kapsamda faaliyet gösterecek Birleşik Krallık firmalarına destek vermek ve hazırlayacakları sözleşmelerde nelere dikkat etmelerini gerektiğini göstermek amacıyla hazırlandı.
Fransa Veri Koruma Kurumu veri işleyenlerin GDPR'a uyumluluğu için rehber yayımladı
Fransa Veri Koruma Kurumu (CNIL) veri işleyenlere AB Genel Veri Koruma Regülasyonu uyarınca yeni yükümlülükleri konusunda yardımcı olması için bir rehber yayımladı. Rehber veri işleyenlerin atması gerektiği üç adımı belirliyor.
- DPO'nun atılması gerekip gerekmediğine dair değerlendirilmesi;
- Mevcut sözleşmelerin gözden geçirilerek analiz edilmesi. Bu kapsamda rehber, sözleşmelere koyulabilecek kişisel veri işlemeye ilişkin örnek maddeler veriyor.
- Veri işleme faaliyetleri için bir envanter yaratılması.
Rehber aynı zamanda veri işleyen tarafından alt veri işleyen atanması halinde veri işleyenin sorumluluğuna ilişkin önemli açıklamalara yer veriyor. Rehbere göre, veri işleyenlerin veri koruma etki analizi oluşturulması ve veri ihlallerinin bildirilmesi bakımından veri sorumlusuna yardım etme yükümlülüğü bulunuyor. Rehber ayrıca, veri işleyenin AB içerisinde olmaması halinde bir veri temsilcisinin atılması gerektiğini belirtiyor.
İstanbul Barosu KVKK Konferansı düzenliyor
İstanbul Barosu tarafından 24 Ekim'de "Uygulama Açısından Kişisel Verilerin Korunması Kanunu" başlıklı konferans düzenleniyor.
Kişisel verilerin korunmasına ilişkin pek çok farklı konunun ele alınacağı konferansta konuşmacılar arasında;
- İstanbul Barosu Yönetim Kurulu Üyesi Süreyye Turan,
- eBAY Türkiye Hukuk Direktörü Asım Serdar Yılmaz,
- Özyeğin Üniversitesi Hukuk Fakültesi Öğretim Üyesi Ali Osman Özdilek,
- PwC Türkiye Bilgi Güvenliği ve Siber Güvenlik Hizmetleri Lideri Burak Sağdıçve
- İstanbul Medipol Üniversitesi Hukuk Fakültesi Öğretim Üyesi Murat Volkan Dülger yer alıyor.
Belçika Veri Koruma Kurumu Facebook'a karşı mahkemeye başvurdu
Belçika Veri Koruma Kurumu, Facebook tarafından kullanıcıların kişisel verilerinin reklam amaçlı toplanmasının durdurulması için mahkemeye başvurdu. Yapılan başvuruda, Facebook'un verileri toplamak için kişisel verilere fazla müdahale eden çerezler, pikseller ve eklentiler kullandığı belirtildi. Kurum bu araçların kişilerin bilgisayarında en fazla iki yıl boyunca kalabildiğini ve ticari amaçlarla kullanıcı olmayan kişilerin izlenmesi için bile kullanıldığını belirtti.
Hollanda Veri Koruma Kurumu Microsoft Windows 10’un kanuna aykırı olduğuna karar verdi
Windows10 üzerinde yürütülen soruşturma neticesinde Hollanda Veri Koruma Kurumu, Windows 10’un kişisel verilerin korunması kanununa aykırı olduğuna karar verdi. Buna göre, Microsoft'un kullanıcılarını ne tür kişisel verilerini hangi amaçla işlediği konusunda açıkça bilgilendirmediği tespit edildi.
Hyatt Otelleri Zinciri siber saldırı sonucu müşteri verilerini sızdırdı
Hyatt Otelleri, müşterilerin ödeme kartı bilgilerinin ele geçirildiği bir siber saldırıya uğradıklarını açıkladı. Saldırının başta Çin olmak üzere, ABD, Brezilya, Kolombiya, Hindistan, Japonya, Endonezya ve Suudi Arabistan gibi ülkelerdeki Hyatt otellerinde meydana geldiği ve 18 Mart'tan 2 Temmuz'a kadar sürdüğü tahmin ediliyor. Sızıntının kapsamı henüz şu an bilinmiyor.
Avustralya Hükümeti tüm sürücülerin ehliyet fotoğraflarını istiyor
Avustralya Hükümeti, terör saldırılarını önlemek ve ulusal güvenliği sağlamak adına tüm vatandaşların ehliyet fotoğraflarını talep ediyor. Bu fotoğraflar hükümetin veri tabanına kaydedilerek yüz tanıma teknolojileri aracılığıyla kimlik hırsızlıklarının ve terör saldırılarının önlenmesi hedefleniyor. Bilhassa sürücü ehliyet fotoğraflarının istenmesinin sebebi ise ehliyetlerin pasaportlardan daha yaygın bulunması ve ehliyet fotoğrafların pasaport fotoğraflarına göre daha güncel olması şeklinde tahmin ediliyor.
Kimlik hırsızlığı Avustralya'da büyüyen bir problem olarak yer alıyor. 2016 hükümet raporuna göre kimlik hırsızlığı sebebiyle hükümet 1,7 milyar ABD Doları tutarında zarara uğradı.
Bazı eleştirilere göre, ülkede halihazırda ileri derecede kimlik tespit etme mekanizmalar bulunuyor ve terör saldırıların ülkede çok düşük bir oranda gerçekleşmesi sebebiyle böyle bir önlemin ölçüsüz olacağı düşünülüyor.
Google'a uygulama geliştiricileriyle kişisel veri paylaştığına ilişkin dava açıldı
Mobil uygulamaları satın alan kişilere ait kişisel bilgileri uygulama geliştiricileriyle paylaştığı iddiasıyla Google'a karşı dava açıldı. Adam Gurno, Google'a karşı açtığı davada, Google Play Store'dan 2012 ve 2014 yılları arasında uygulama satın aldığını ve bunun sonucunda Google tarafından isminin, e-posta adresinin ve posta kodunun rızası olmadan uygulama geliştiricilerle paylaşıldığını öne sürüyor.
Yahoo'nun 2013 yılında gerçekleşen veri sızıntısı 3 milyar kullanıcıyı etkiledi
2013 yılında siber saldırıya uğranan Yahoo resmi açıklamasında bu sızıntıya karşı 1 milyar kullanıcısına ait verilerin ele geçirildiği belirtmişti. Ancak yeni yapılan incelemelere göre, 2013 yılı gerçekleşen siber saldırı sonucu 3 milyar kullanıcıya ait verilerin etkilendiği anlaşılıyor. Bu bakımından Yahoo'nun bu veri sızıntısı, şu ana kadar gerçekleşen en büyük veri sızıntısı olarak değerlendiriliyor.
