Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Şubat ayı içerisinde Kişisel Verileri Koruma Kurul (“Kurul”) kararları, Katılım Belgesine İlişkin Usul ve Esaslar hakkında ve Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin kamuoyu duyuruları, güncel idari para cezası tutarları ve Kurul İlke Kararları Kitapçığı yayımlanmıştır. Ayrıca Ceza ve Kabahatler Açısından Kişisel Verilerin Korunması ve Dijital Dünyada Metaverse konularında Çarşamba seminerleri düzenlenmiştir.
7 Şubat 2022 tarihinde Kurum tarafından, 23/12/2021 tarihli ve 2021/1324 numaralı Kurul karar özeti yayımlanmıştır. Veri sorumlusu Yemek Sepeti Elektronik İletişim Perakende Gıda Lojistik A.Ş. tarafından Kurum’a gönderilen veri ihlali bildiriminde web uygulama sunucusuna 18.03.2021 tarihinde kimliği belirsiz kişilerce erişildiği ve şüpheli davranışın 25.03.2021’de fark edildiği, bu vasıtayla kullanıcı oluşturularak veri toplamaya çalışıldığı ve uzaktaki sunuculara trafik gönderildiği belirtilmiştir. Ayrıca verilerin Fransa’da bulunan bir IP adresine iletildiği ve bu iletilen trafiğin güvenlik duvarında izlerinin olduğu, 21.504.083 kullanıcının etkilendiği ve bu kişilerin ad, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgilerine erişildiği beyan edilmiştir.
Kurul yaptığı incelemede, Yemeksepeti’ne ait web uygulama sunucusundaki bir açıktan faydalanılarak uygulama kurulduğu ve komut çalıştırılarak sunucuya erişildiği, 21.504.083 kullanıcının etkilendiği bu ihlalde kişilerin ad, adres, telefon numarası, e-posta adresi, kullanıcı şifresi ve IP bilgileri sızdırıldığını doğrulamıştır.
Kurul kararında; (i) İhlalden etkilenen kişi sayısının çok fazla olması dikkate alınarak ihlalin çok büyük kapsamlı olduğu, (ii) Erişilen kişisel verilerin niteliği dikkate alınarak ihlalin ilgili kişilerin kişisel verileri üzerinde kontrol kaybı gibi risklere yol açacağı, (iii) İhlalin fark edilmesinin 8 gün sürmesinde veri sorumlusunun kusuru bulunduğu, güvenlik yazılımlarında oluşan alarmların gerekli aksiyonlar alınmadan kapanması sebebiyle veri sorumlusunun hizmet aldığı üçüncü parti firmalar üzerinde etkin bir denetim mekanizmasının bulunmadığı, (iv) Veri sorumlusu tarafından sızma testlerinin etkin bir şekilde yapılmadığına ilişkin durumları dikkate alınmıştır. Bu doğrultuda Kurul tarafından, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’nın 12/1.maddesindeki veri güvenliğine ilişkin yükümlülüklerini yerine getirmemesi nedeniyle KVKK’nın 18/1-b.maddesi kapsamında veri sorumlusuna 1.900.000 TL idari para cezası uygulanmasına karar verilmiştir.
Kurum tarafından Personel Sertifikasyon Mekanizmasına İlişkin Usul ve Esaslar Hakkında Tebliğ doğrultusunda 23.12.2021 tarihli ve 2021/1296 sayılı Kurul kararı ile Katılım Belgesine İlişkin Usul ve Esaslar belirlenmiş ve 11 Şubat 2022 tarihinde yayımlanmıştır.
Katılımcıların, Katılım Belgesi alabilmesi için öncelikle kişisel verilerin korunması mevzuatı alanında gerekli donanımın kazandırılmasını amaçlayan temel eğitimin en az %80’ine katılmaları gerekmektedir. Eğitimin tamamlanmasının ardından girecekleri sınavda da en az %70 oranında başarılı olmaları gerekmektedir. Öğrencilerin temel eğitimi aldıktan sonra 3 sınav hakkı bulunmakta olup tamamında başarısız olan öğrenciler baştan eğitim almak zorunda kalacaktır.
Sınava yönelik itirazlar sınav tarihinden itibaren 30 gün içerisinde eğitici kuruma yapılacak, eğitim kurumu da 30 gün içerisinde bu itirazlara cevap verecektir.
Temel eğitim ve sınav konuları şu şekildedir: (i) Temel Kavramlar, (ii) Genel / Temel İlkeler, (iii) Kişisel Veri İşleme Şartları, (iv) Kişisel Verilerin Yurtiçinde Aktarılması, (v) Kişisel Verilerin Yurtdışına Aktarılması, (vi) Aydınlatma Yükümlülüğü, (vii) İlgili Kişi Hakları, (viii) Veri Sorumlusuna Başvuru, (ix) Kurula Şikâyet, (x) Kurumun Yapısı ve Kurul, (xi) Yaptırımlar, (xii) Tam ve Kısmi İstisnalar, (xiii) Veri Güvenliği Tedbirleri/Teknik ve İdari Tedbirler, (xiv) Veri İhlal Bildirimi Süreçleri, (xv) Silme, Yok Etme, Anonim Hale Getirme, (xvi) Veri Sorumluları Siciline Kayıt.
15 Şubat 2022 tarihinde Kurum tarafından yayınlanan duyuruda, son zamanlarda Kurum’a intikal eden veri ihlali konusundaki şikayetler dikkate alınarak veri sorumluları ve veri işleyenler tarafından veri güvenliği konusunda gerekli teknik ve idari tedbirler ile risklerin azaltılabileceği hatırlatılmıştır.
Bu kapsamda veri sorumlularına tavsiye edilen önlemler şu şekildedir:
16 Şubat 2022 tarihinde Kurum tarafından, 06/01/2022 tarihli ve 2022/13 numaralı Kurul karar özeti yayımlanmıştır.
İlgili kişi şikayetinde, kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı, hukuka aykırı işleme gerekçesiyle veri sorumlusuna başvurduğu ancak yanıt alamadığını belirterek, konu ile ilgili gerekli incelemenin yapılmasını talep etmiştir.
Kurum tarafından da veri sorumlusundan savunma istenmiş ancak herhangi bir cevap alınamamıştır. Yapılan incelemede veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanından oluşan kişisel verilerinin işlendiği tespit edilmiştir. Kişinin ad ve soyadının kişisel veri olduğu konusunda tereddüt olmamakla birlikte, sınav sonucu bilgilerinin ilgili kişinin belirli bir alandaki bilgi ve yeterliliğinin kapsamını ve bazı durumlarda zekasını, düşünce süreçlerini ve yargısını yansıttığı değerlendirilerek kişisel veri niteliğini haiz olduğu ve ilgili kişinin yerleştiği yükseköğretim programının kişinin ilgi alanlarına ilişkin bilgi vermesi nedeniyle kişisel veri niteliğini haiz olduğu belirtilmiştir.
Kurul kararında; (i) somut olayda basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkı karşı karşıya kalmış olmakta, basın ve ifade özgürlüğü ile kişisel verilerin korunması arasındaki meşru çıkar kıyaslamasında ölçütün kamu yararı olacağı, (ii) İlgili haberde olağan dışı bir sınav sonucu olmadığı sebebiyle kamu yararı bulunmadığı kanaatine varılmış olup söz konusu haberde gerçekleştirilen kişisel veri işleme faaliyetinin ifade özgürlüğü kapsamında değerlendirilemeyeceği, faaliyetin istisna kapsamında olmadığının görüldüğü, (iii) Veri sorumlusu savunma hakkını kullanmadığı için ilgili kişinin kişisel verilerinin hangi veri işleme şartına dayanılarak işlendiği bilgisine ulaşılamadığı ve aksine kanaat getirilemediği için kişisel veri işleme faaliyetinde hukuka uygunluk nedenlerinin bulunmadığından veri sorumlusunun kişisel veri işleme faaliyetinin hukuka aykırı olduğu kanaatine varıldığına ilişkin durumlar dikkate alınmıştır. Bu doğrultuda Kurul tarafından, KVKK’nın 12/1.maddesine aykırı olarak işlenmesi nedeniyle KVKK’nın 18/1-b.maddesi kapsamında veri sorumlusuna 30.000 TL idari para cezası uygulanmasına karar verilmiştir.
17 Şubat 2022 tarihinde Kurum tarafından idari para cezalarına ilişkin 2017-2022 yılları için tespit ve ilan edilen yeniden değerleme oranında arttırılmış tutarlarını gösteren tablo yayımlanmıştır. Ceza tutarlarındaki artış 2017’de %3,83; 2018’de %14,47 ; 2019’da %23,73; 2020’de %22,58; 2028’de %9,11; ve 2022 yılında %36,20 şeklinde düzenlenmiştir.
2022 yılı için idari para cezası aralıkları; (i) Aydınlatma yükümlülüğünü yerine getirmeme için 13.391-267.883, (ii) Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi için 40.179-2.678.863, (iii) Kurul kararlarının yerine getirilmemesi için 66.965-2.678.863, (iv) Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi için 53.572-2.678.863 olarak belirlenmiştir.
18 Şubat 2022 tarihinde Kurul İlke Kararları Kitapçığı yayımlanmıştır. Kitapçık içerisinde 7 adet ilke kararı bulunmaktadır. Bu kararlardan araç kiralama sektöründe kara liste programını Ocak ayındaki bülten yazımızda değerlendirilmiştir. Bunun dışındaki 6 karara ilişkin değerlendirmelerimiz şu şekildedir:
a. Rehberlik Hizmeti Veren İnternet Sitelerinde/Uygulamalarda Kişisel Verilerin Korunmasına Yönelik 21/12/2017 Tarihli ve 2017/61 Sayılı İlke Kararı
Kurum’a gelen ihbarlar doğrultusunda Kurul’un yaptığı incelemelerde, isimden telefon numarası veya telefon numarasından isim sorgulanması şeklinde rehberlik hizmeti veren internet siteleri ve uygulamaların bulunduğu tespit edilmiştir.
Kurul tarafından, (i) ilgili kişilerin açık rızalarını almaksızın rehberlik hizmeti veren internet siteleri ve uygulamaların gerçekleştirdiği veri işleme faaliyetlerinin KVKK’nın 15/7.maddesi uyarınca durdurulmasına, (ii) Durdurulmadığı takdirde bu internet sitelerine/uygulamalara erişimin engellenmesi adına yetkili kurumlara başvuruda bulunulacağı, (iii) Kişisel verilerin hukuka aykırı olarak elde edilme ihtimaline karşı, 5237 sayılı Türk Ceza Kanununun (“TCK”) 136.maddesi uyarınca durum hakkında Cumhuriyet Başsavcılığına bildirileceği konusunda kamuoyunun bilgilendirilmesine, (iv) KVKK’nın 15/6.maddesi uyarınca bu ilke kararının alınması ile Resmi Gazete ve Kurum internet sitesinde yayınlanmasına ve karar aleyhine davranışlar bulunanlar hakkında KVKK’nın 18.maddesinin uygulanacağına karar verilmiştir.
b. Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunmasına Yönelik 21/12/2017 Tarihli ve 2017/62 Sayılı İlke Kararı
Kurum’a gelen ihbarlar doğrultusunda Kurul’un yaptığı inceleme sonucunda uygulamadaki sorunların önlenmesi adına, (i) Bankacılık ve sağlık sektörleri başta olmak üzere, birden fazla çalışan ile birlikte bitişik düzende hizmet veren kamu veya özel sektör kurum ve kuruluşlarında, KVKK’nın 12.maddesi doğrultusunda banko/gişe/masa gibi bölümlerde yetkisi olmayan kişilerin yer almasını önleyecek ve aynı anda birbirlerine yakın konumda hizmet alanların birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engelleyecek nitelikte gerekli teknik ve idari tedbirleri almasına, (ii) KVKK’nın 15/6.maddesi uyarınca bu ilke kararının alınması ile Resmi Gazete ve Kurum internet sitesinde yayınlanmasına ve karar aleyhine davranışlarda KVKK’nın 18.maddesinin uygulanacağına karar verilmiştir.
c. Kişisel Verilere Erişim Yetkisi Bulunan Personelin Yetkisi ve Amacı Dışında Verileri İşlemesi Hususunun Değerlendirilmesine 31/05/2018 Tarih ve 2018/63 Sayılı İlke Kararı:
Kurum’a gelen ihbarlar doğrultusunda Kurul’un yaptığı incelemelerde, veri sorumlusu nezdinde bulunan kişisel verilere erişimi olan personelin uygulamadaki sorunların önlenmesi adına, (i) Veri sorumlusunun yetkilerini aşacak veya kötüye kullanacak şekilde veri işlemesinin veya verileri üçüncü kişilerle paylaşmasının KVKK’nın 12.maddesini ihlal edeceği sebebiyle bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği hususunda veri sorumlularının bilgilendirilmesine, (ii) KVKK’nın 15/6. maddesi uyarınca bu ilke kararının alınması ile Resmi Gazete ve Kurum internet sitesinde yayınlanmasına ve karar aleyhine davranışlarda KVKK’nın 18.maddesinin uygulanacağına karar verilmiştir.
d. İlgili Kişilerin E-Posta Adreslerine veya SMS Ya Da Çağrı ile Cep Telefonlarına Reklam Bildirimleri/Aramaları Yönlendirilmesinin Önüne Geçilmesi ile İlgili 16/10/2018 Tarihli ve 2018/119 Sayılı İlke Kararı
Kurum’a gelen ihbarlar doğrultusunda Kurul’un yaptığı incelemelerde, ilgili kişilerin açık rızaları alınmaksızın e-posta adreslerine veya SMS veya çağrı ile cep telefonlarına reklam bildirimleri/aramaları yapıldığı tespit edilmiştir.
Kurul tarafından, (i) İlgililerin rızalarını almadan veya KVKK’nın 5/2.maddesindeki işleme şartlarını sağlamadan, telefon numaralarına SMS göndermek, arama yapmak veya e-posta adreslerine posta göndermek suretiyle reklam içerikli ileti yönlendiren veri sorumluları ile veri sorumluları adına bu verileri kullanan veri işleyenlerin söz konusu veri işleme faaliyetlerini KVKK’nın 15/7.maddesi uyarınca derhal durdurması gerektiğine, (ii) Veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu ve kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumlu olduğu, (iii) Söz konusu faaliyette bulunanların KVKK’nın 18.maddesi uyarınca haklarında işlem tesis edileceği, (iv) Kişisel verilerin hukuka aykırı olarak elde edilme ihtimaline karşı, TCK’nın 136.maddesi uyarınca durum hakkında Cumhuriyet Başsavcılığına bildirileceği konusunda kamuoyunun bilgilendirilmesine, (v) KVKK’nın 15/6.maddesi uyarınca bu ilke kararının alınması ile Resmi Gazete ve Kurum internet sitesinde yayınlanmasına ve karar aleyhine davranışlar bulunanlar hakkında KVKK’nın 18.maddesinin uygulanacağına karar verilmiştir.
e. Hukuka Aykırı Olarak Elde Edilen Veriler Üzerinden Vatandaşların Kimlik ve İletişim Bilgileri Gibi Kişisel Verilerinin Sorgulanmasına İmkân Tanıyan Yazılım/Program/Uygulamalara Yönelik 18/10/2019 Tarihli ve 2019/308 Sayılı İlke Kararı
T.C Cumhurbaşkanlığı İletişim Merkezi (“CİMER”) üzerinden Kurum’a ve Cumhuriyet Başsavcılığına intikal ettirilen başvuruda bir veri sorumlusunun kullanmakta olduğu programa herhangi bir şahsın ismi yazıldığında programın, T.C. kimlik no, ikametgâh adresi, akrabaları ve aynı hanede oturanların bütün kimlik bilgilerini verdiği belirtilmiştir. Kurum yaptığı incelemede ilgili kişinin CİMER başvurusunda yer verdiği iddiaların doğru olduğunu tespit etmiştir.
Kurum tarafından programın iddianın yöneldiği veri sorumlusu tarafından üçüncü bir kişiden temin edildiği kanaatine ulaşılmış ancak ihbar başvurusuna konu program ile ilgili olduğu değerlendirilebilecek bir internet sayfasına ise ulaşılamamıştır. Kamuoyuna yansıyan haberlerde ilgili olaya benzer şekilde, hukuka aykırı elde edilen veriler üzerinden vatandaşların kimlik, adres vb. kişisel verilerinin sorgulanmasına imkân tanıyan diğer uygulamaların suç örgütleri tarafından para karşılığında satıldığı anlaşılmıştır.
Söz konusu başvuruya Cumhuriyet Başsavcılığı tarafından verilen cevap uyarınca, CİMER başvurusunun Cumhuriyet Başsavcılığı ile Adalet Bakanlığı ve Hâkimler Savcılar Kurulu muhabere bürosunca işleme alınmıştır.
Kuruma ihbarda bulunan ilgili kişinin, veri sorumlusunun programı, iş yerinde çalışan bütün elemanlarıyla birlikte kullanarak kişisel verileri hukuka aykırı olarak ele geçirdiği ve yaydığı yönündeki iddialarına ilişkin; (i) Kurulun görev alanına giren konularda ve ilgili yargı mercileri tarafından söz konusu programı kullandığı belirlenecek veri sorumluları hakkında inceleme başlatılmasına, (ii) Kurul tarafından yürütülecek inceleme sürecinin, ihbar başvurusunun intikal ettiği görülen adli ve idari makamlarla koordinasyon içerisinde yürütülmesine, (iii) İhbar konusu yazılım/program/uygulamaları kullandığı tespit edilenler hakkında TCK kapsamında gerekli adli işlemlerin tesisi için konunun ilgili Cumhuriyet Başsavcılıklarına bildirileceğine, (iv) Görev alanına giren veri sorumluları hakkında KVKK’nın 18.maddesi uyarınca idari işlem tesis edilmesine, (v) KVKK’nın 15/6.maddesi uyarınca bu ilke kararının alınması ile Resmi Gazete ve Kurum internet sitesinde yayınlanmasına karar verilmiştir.
f. Veri Sorumluları Tarafından Kişilerin İletişim Kanallarına Üçüncü Kişilere Ait Kişisel Veriler Gönderilmesi Hakkında 22/12/2020 Tarihli ve 2020/966 Sayılı İlke Kararı
Kurum’a gelen ihbarlar doğrultusunda Kurul’un yaptığı incelemelerde, e-ticaret, telekomünikasyon, ulaşım, turizm gibi sektörlerde faaliyet gösteren veri sorumluları tarafından fatura, ekstre, rezervasyon belgesi gibi kişisel veri içeren dokümanların SMS ve/veya e-posta vasıtasıyla gönderimini teminen ilgili kişilerden telefon numarası ve/veya e-posta adreslerini beyan etmelerinin istenildiği, ancak bu kişiler tarafından yanlış bilgi beyanında bulunulabildiği veya yine ilgili kişilerce üçüncü kişilere ait bilgilerin beyan edilmesi neticesinde, ilgili kişilere ait verileri içeren bahse konu dokümanların üçüncü kişilere iletildiği tespit edilmiştir.
Kurul tarafından; (i) Kişisel verilerin doğru ve güncel tutulabilmesi, kişilerin iletişim kanallarına üçüncü kişilerin kişisel verilerini içeren belgelerin gönderilmesinin önlenmesi adına veri sorumlusu tarafından iletişim bilgilerinin doğruluğunu teyit edecek makul önlemler (telefon numarası ve/veya e-posta adresine doğrulama kodu/linki gönderilmesi vb.) alınmasına, (ii) Veri sorumluları tarafından bu konuda gerekli teknik ve idari tedbirlerin alınmasına, (iii) KVKK’nın 15/6.maddesi uyarınca bu ilke kararının alınması ile Resmi Gazete ve Kurum internet sitesinde yayınlanmasına karar verilmiştir.
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 9 Şubat 2022 tarihinde Ceza ve Kabahatler Açısından Kişisel Verilerin Korunması konulu seminer düzenlenmiştir. Seminere Ankara Üniversitesi Hukuk Fakültesi Öğretim Üyesi Prof. Dr. Devrim GÜNGÖR konuşmacı olarak katılım sağlamıştır.
Seminerde, KVKK’da kişisel veri ihlalinin bir suç tanımı olarak düzenlenmediği ve 17.maddesinde TCK’nın 135-140.maddelerine atıf yapıldığı belirtilmiştir. Bununla beraber KVKK’da kabahatler ile ilgili tesis edilmiş olan idari yaptırım kararları bulunmaktadır.
Kabahat teşkil eden tek bir fiil ile birden fazla kişinin verisi ihlal edildiğinde bunun tek bir kabahat olarak değerlendireceği ve bir defa idari para cezasına hükmedilmesi gerekeceği belirtilirken, aynı fiil TCK kapsamına giren bir suç olduğu durumda ise verisi ihlal edilen kişi sayısınca suçun ortaya çıkacağı belirtilmiştir. KVKK’da aksi öngörülmemesi sebebi ile Kabahatler Kanunu’nun 15.maddesi uyarınca hem suç hem de kabahat teşkil eden bir fiil söz konusu olduğunda, suç kapsamında değerlendirileceğine değinilmiştir.
Kurum tarafından düzenlenen Çarşamba seminerleri kapsamında 23 Şubat 2022 tarihinde Dijital Dünyada Metaverse konulu seminer düzenlenmiştir. Seminere İstinye Üniversitesi İktisadi, İdari ve Sosyal Bilimler Fakültesi Dr. Öğretim Üyesi Şebnem ÖZDEMİR konuşmacı olarak katılım sağlamıştır.
Seminerde, Metaverse evreninin “alternatif evren” olarak ifade edilebileceği belirtilerek Metaverse evreninin ilk kez 1968 yapımı Space Odyssey filminde konu edildiği, kavram olarak Metaverse isminin ise ilk defa Snow Crash (1992) adlı romanda geçtiği belirtilmiştir. Sonrasında da pek çok filme konu olan Metaverse, 2021 yılında Facebook’un ismini Meta olarak değiştirmesi ile kamuoyunda ve çeşitli sektörlerde dikkat çekici hale geldiğine değinilmiştir.
Varlığını elektrik, internet ve bilgisayar altyapısı olmadan sürdüremeyecek olan ve 100’ün üzerinde alternatifle hayatımıza giren Meta Evrenler insanlara kendi hayatlarından çok daha renkli ve ütopik bir hayatın kapılarını açtıklarını iddia ediyorlar. Yüzden fazla Meta Evren bulunması, tek bir yasayı, tek bir hak ve hukuk sisteminden bahsetmeyi imkânsız kılıyor.
Kullanmayı tercih ettiğimiz sosyal medya hesaplarında olduğu gibi, içinde bulunmayı seçeceğimiz evrenler de verilerimizi kiminle paylaştığımızı belirleyecektir. İçine girilen her evrende duygu durumundan reflekslere kadar kişisel verilerimizi o evren ve içindekiler ile paylaşılmış olacaktır. Bu sebeple Meta Evrenlerde dikkatli olunması gerekmektedir.
Yukarıda incelediğimiz kamuoyu duyuruları, kararlar ve seminerler doğrultusunda: