Embed Size (px)
Citation preview
NİSAN AYI
VERİ OTORİTELERİ AYLIK GELİŞMELER BÜLTENİ
Bu Fotoğraf, Bilinmeyen Yazar, CC BY-SA altında lisanslanmıştır
8 Nisan 2020
ICO, Covid-19 pandemi sürecini fırsat bilen ve insanların sağlık verilerine elde edip mail, telefon
spam gibi çeşitli yollardan kişilere ulaşarak dolandırmaya çalışan firmalar hakkında sıkça şikayet
aldıklarını, bu süreçte dolandırıcılara karşı mücadele içerisinde olduklarını açıkladı. Elektronik
pazarlama kurallarının ihlal edilmesi halinde 500.000 pounda kadar para cezasına hükmetme yetkisi
olduğunu hatırlatan Kurum, bu süreçte halkı korumak için kolluk kuvvetleri ve diğer ilgili kuruluşlarla
işbirliği içerisinde olduklarını sözlerine ekledi.
15 Nisan 2020
ICO, koronavirüs salgını boyunca bilgi komiserliği ofisinin işleyişini düzenlendiği belgeyi yayınladı.
Birleşik Krallık Kişisel Verileri Koruma Kurumu Başkanı Elizabeth Denham, yaşanan bu olağanüstü
durumda şirketlerin bir çok zorlukla yüzleştiklerini gördüklerini, bu duruma kayıtsız kalmayacaklarını
ve yasanın el verdiği ölçüde esneklik göstereceklerini, Birleşik Krallık Veri Koruma Yasa'nın da genel
kamu yararını esas aldığını,, önlerine gelen vakalarda bu kriz halinin dikkate alınarak değerlendirme
yapılacağını ancak bireylerin haklarını korumaya da empatik ve pragmatik bir yolla devam
edeceklerini söyledi. Kişisel verilerin korunması hakkının modern ve kaybedilmemesi gereken bir
hak olduğunu belirten Denham, bu krizin kişilerin mahremeyetini bozmasına ve yasadan doğan
haklarını ihlal etmesine de müsade etmeyeceklerini önemle vurguladı.
15 Nisan 2020
ICO İşleyiş Direktörü Ian Hulme, video konferans yapılırken dikkat edilmesi gereken noktaları
açıkladı. Koronavirüsün hayatımızı bir çok noktada etkilediğini ve etkilemeye devam edeceğini
söyleyen Hulme; işveren, yönetici ve işçilere tavsiyelerde bulundu. Kullanıcıların öncelikli olarak
yapılacak olan işin video konferansa uygun olup olmadığını düşünmelerini öneren Hulme, bir
uygulamayı kullanırken mutlaka güvenlik ve gizlilik politikalarının okunmasını, canlı yayında bulunan
diğer kişiler tarafından gönderilebilecek spamlara karşı dikkatli olunmasını ve en büyük risklerden
birinin de güncel olmayan yazılımlar olduğunun unutulmamasını söyledi.
27 Nisan 2020
Birleşik Krallık Ulusal Sağlık Hizmetleri Teknolojik ve Dijital Çözümler birimi tarafından yeni tip
koronavirüse karşı tanı ve takip sistemi içeren bir uygulama geliştirildiği duyuruldu. Teknolojinin
koronavirüs pandemisiyle mücadele için potansiyel bir güç taşıdığını bu çerçevede bir iletişim
izleme uygulaması geliştirdiklerini ve mayıs ayının başında kullanıma sunacaklarını açıklayan
Matthew Gould, uygulama geliştirilirken kişisel veri ihlali gerçekleşmemesi için Bilgi Komiserliği Ofisi
ile işbirliği içerisinde çalıştıklarını belirtti. Konuya ilişkin açıklamada bulunan Kişisel Verileri Koruma
Kurumu başkanı Elizabeth Denham, COVİD-19 ile mücadelede kişisel veri kullanımının etkili bir
yöntem olduğunun farkında olduklarını, vatandaşların bu konuda hükümete ve Ulusal Sağlık
Hizmetleri Birimi'ne güvenmelerini, uygulamanın geliştirilmesinde tam destek sağladıklarını ve
verilerin maksimum şeffaflık ile Kanun'a uygun olarak işleneceğini söyledi.
Bu Fotoğraf, Bilinmeyen Yazar, CC BY-SA altında lisanslanmıştır
2 Nisan 2020
DPC İrlanda Kişisel Verileri Koruma Kurulu, Covid-19 sebebiyle çalışma durumuna ilişkin yeni bir
duyuru yayınlayarak Kurum ofisinin ve telefon numarasının kapalı olduğunu tüm şikayet ve talepleri
web sitesinde yer alan formun doldurulması ile veya e-posta yoluyla alacaklarını açıkladı.
3 Nisan 2020
DPC İrlanda, video konferans uygulamaları hakkında dikkat edilmesi gerekenler başlıklı bir blog
yazısı yayımladı. Bireyler ve organizasyonlar için ayrı ayrı tavsiyelerde bulunan DPC, bireyler için:
• Yazılım ve virüs sistemlerinin güncel olduğundan emin olmalarını,
• Bildikleri güvendiklerirve daha önce tercih etikleri uygulamaları tercih etmelerini,
• Kullanılan uygulamaların gizlilik ve güvenlik politikalarını incelemelerini,
• Verilerine erişim izni vermeden önce iki kez düşünmelerini,
• Konum, rehberde yer alan kişi ilietişim bilgileri gibi verileri işlemek için izin isteyen uygulamaları
tercih etmemelerini,
• Görüşme esnasında kamerada nelerin gözüktüğüne dikkat etmelerini ve gerekli olmadığı
zamanlarda kamerayı kapatarak toplantıya devam etmelerini,
• Kişisel erileri koruma hukuku kapsamındaki haklarını gözeterek bu uygulamaları kullanıp
kullanmayacaklarına karar vermelerini tavsiye etti.
3 Nisan 2020
Organizasyonlar için ise;
• Çalışanların kişisel veri politikalarından memnun oldukları anlaşmalı hizmet sağlayıcılarını
kullandıklarından emin olmalarını,
• Çalışanların kişisel mailleri yerine işyeri mail adreslerini kullnarak erişim sağladıklarından emin
olmalarını,
• Kişisel veri politikalarında ve rehberlerinde video konferans vasıtasıyla verilerin işlendiğine dair
aydınlatıcı hükümlere yer vermelerini,
• Çalışanların erişim denetimi sınırlı veri paylaşımı gibi tedbirlere teşvik etmelerini,
• Video konferans uygulamalarının organizasyonel nedenlerle kullanılması gerektiğinden bunların
kullanımına dair politikalar oluşturarak şirket verilerinin olabildiğince paylaşılmamasını ve
mümkünse VPN veya başka bir özel ağ kullanmalarını önerdi.
6 Nisan 2020
DPC İrlanda tarafından çerezlerin ve diğer izleme teknolojilerinin kullanımı hakkında bir rapor
yayınlandı. Ağustos 2019 yılından bu yana medya, perakende, restoran, yemek sipariş siteleri,
sigorta şirketleri ve kamu sektörü dahil bir çok sektörde kullanılan çerez ve benzeri teknolojilerin
inceleyen DPC araştırma sonuçlarıını internet sitesinde 32 sayfalık rapor ile halka açıkladı.
Araştırmanın amacının bu tür teknolojilerin nasıl yayıldığını ve kullanıcı rızalarının nasıl alındığını
öğrenmek ve sürecin hukuka uygun olup olmadığını denetlemek olduğu belirtildi.
Bu Fotoğraf, Bilinmeyen Yazar, CC BY-SA altında lisanslanmıştır.
3 Nisan 2020
3 Nisanda gerçekleştirilen Avrupa Veri Koruma Kurulu (EDPB) toplantısında, COVID-19 ile mücadele
kapsamında veri işlemesine ilişkin aydınlatıcı nitelikte rebherler yayımlanmasına karar verildi.
Toplantı akabinde Başkan Andrea Jelinek söz konusu rehberlerin; başta konum verilerinin
kullanılması ve anonimleştirilmesi, bilimsel araştırma amacıyla sağlık verilerinin işlenmesi olmak
üzere COVID-19 ile mücadele kapsamındaki veri işleme faaliyetlerinin hukuka uygun olarak
yürütülmesi amacıyla hazırlanacaklarını açıkladı.
3 Nisan 2020
EDPB’nin ulusal haberler başlıklı bülteninde yer alan habere göre, Polonya Kişisel Verileri Koruma
Kurumu, hakkında şikayet aldıkları Vis Consulting isimli telemarketing şirketine denetim yapacağını
bildirdi. Önceden haberdar edilmesine rağmen 2 defa üst üste gidilen denetimde şirket merkezi
olarak gösterilen adresin boş olduğu görüldü. Kurum tarafından şirket vekili ile görüşülerek denetim
yapılmak istendiği iletilse de olumsuz yanıt alındı. Bunun üzerine Kurum, Şirket’in kişisel verileri
hukuka aykırı olarak işlediğini kabul ederek, haksız yere denetim yapılmasına engel olunduğu için
4500 Euro para cezasına hükmetti. Şirket’in yer aldığı Katowice şehri savcılığı tarafından şirket
yetkilileri hakkında denetimin engellenmesi suçundan iddianame düzenlendi.
14 Nisan 2020
EDPB, COVID-19 ile mücadele kapsamında çıkarılacak rehberlere ilişkin Avrupa Komisyonu'ndan
tavsiye mektubu aldı.Başkan Jelinek, Pan-Avrupa koordineli bir yaklaşım geliştirme girişimlerini
memnuniyetle karşıladıklarını belirtti. Avrupa Komisyonu Mektupta; kamu sağlığını korumak
amacıyla geliştirilen söz konusu konum ve iletişim izleme uygulamalarının özel hayatın gizliliği
hakkına saygılı olarak, gizlilik ayarlarının hesap verilebilir şekilde şeffaf olarak geliştirilmesi
gerektiğini, bu uygulamaların kaynak kodunun kamuya açık hale getirilmesini önerdiklerini ve bu tür
uygulamaların gönüllülük esası ile kullanılması hakkındaki EDPB görüşlerine tamamen katıldıklarını
belirtti.
21 Nisan 2020
EDPB'nin 21 Nisan tarihli 23. oturumunda COVID-19 salgını kapsamında sağlık verilerinin araştırma amaçlı
işlenmesine ilişkin yönerge kabul edildi. EDPB Başkanı Andrea Jelinek, mevcut durumda koronavirüsle alakalı
geniş çaplı araştırmalar yürütüldüğünü ve olabildiğince hızlı bir şekilde en etkili tedavinin bulunmaya
çalışıldığını,, GDPR'ın bu çalışmaların önünde engel olmadığını aksine tedavi bulunması amacıyla sağlık
verilerinin yasal olarak işlnemesini sağladığını belirtti. Oturumda kabul edilen bir diğer yönerge ise COVID-19
bağlamında coğrafi konum belirleme ve diğer izleme araçlarına ilişkin. Buna göre yönergede yer alan 2 belirli
amaç için izleme araçlarının orantılı ve genel ilkelere uygun olarak kullanılması mümkün:
1) Virüsün yayılmasını modellemek ve tedbirlerin etkinliğini tespit etmek amacıyla konum verisinin işlenmesi,
2) İletişim izleme yöntemlerinin ise kontaminasyon zincirlerini mümkün olduğunca erken kırablilmek amacıyla
enfekte olan bireylerle temasa geçmeden kişilerin uyarılması.
Kılavuzlarda yer alan yöntemlerin her daim ölçülülük ve orantılılık ilkesi ışığında uygulanması gerektiğini belirten
EDPB, bu alanda geliştirilen ugyulamaların kullanılmasında gönüllük esasına dayanması gerektiğinin altını çizdi.
30 Nisan 2020
EDPB’nin ulusal haberler başlıklı bülteninde yer alan habere göre, İsveç Kişisel Verileri Koruma Kurumu,
gerçekleşen veri ihlalini zamanında Kurum’a bildirmediği için Ulusal Hükümet Hizmet Merkezi’ni (National
Government Service) 18.700 Euro para cezasına çarptırdı. Kurum, maaş yönetim biriminin bilgi teknolojileri
sistemine ilişkin şikayet alması üzerine Ulusal Hizmet Merkezi hakkında soruşturma başlattı. Soruşturma
sonucunda teknik tedbirlere ilişkin erişim sınırlaması getirilmemesinden kaynaklı bir hata saptayan Kurum, hata
nedeniyle 3 ay boyunca veri ihlali gerçekleştiğini tespit etti. Kurum, inceleme sonunda vardığı kararda idari para
cezasının yanı sıra derhal gerekli tedbirlerin alınması için ilgili mercileri talimatlandırdı.
1 Nisan 2020
İtalya Sosyal Güvenlik Kurumu (INPS) websitesinde meydana gelen veri ihlali İtalyan Kişisel Verileri
Koruma Kurumu'nu harekete geçirdi. Başkan Antonello Soro, ihlale ilişkin geniş kapsamlı
soruşturma başlattıklarını INPS'in söz konusu güvenlik açığına derhal çözüm bularak verileri
güvence altına alması gerektiğini belirtti. Soro, Kamu otoritelerinde meydana gelen bu güvenlik
açıklarının ülkede veri koruma kültürünün hala tam olarak oluşmadığının işaretçisi olduğunu
sözlerine ekledi.
8 Nisan 2020
İtalya'da ceza davalarına ilişkin duruşmalara uzaktan katılım imkanı getirilmesi, halk arasında kişisel
verilerin güvenliğine ilişkin soru işaretleri oluşturdu. DPA konuya ilşikin bir çok soru aldığını açıkladı.
Uzaktan katılım imkanı sunan servis sağlayıcı Microsoft Corporation'ın verilere hangi şartlar altında
ulaşacağı, hangi verilerin hizmet ve ticari amaçlarla saklanacağı hangilerinin saklanmayacağı gibi
sorular alan Kurum konuya ilişkindeğerlendirme yapabilmek adına Adalet Bakanlığı'na ithafen
yazdıkları mektubu yayınladı. Mektupta Kurum Başkanı Anonello Soro tarafından Adalet Bakanı
Alfonso Bonafede'den söz konusu hususlar hakkında kamuoyunun aydınlatılması rica edildi.
1 Nisan 2020
Fransa Kişisel Verileri Koruma Kurumu uzaktan çalışma ile ilgili tavsiyelerini paylaştı. İşverenlere
uzaktan çalışma esnasında GDPR'da yer alan asgari kurallara uymalarını, iş yeri çalışma politikalarını
uzaktan çalışmaya uygun olarak güncellemelerini, tüm çalışanların bilgisayarında günvelik duvarı,
antivirüs gibi kötü amaçlı sitelere erişimi engelleyen donanımlar bulundurmalarını ve mümkünse bir
VPN oluşturarak iki faktörlü kimlik doğrulaması ile internet kullandırmalarını tavsiye etti.
9 Nisan 2020
CNIL video konferans uygulamalarıyla ilgili dikkat edilmesi gereken hususları açıkladı.Açıklamada
her şeyden önce bir uygulamayı kullanmaya başlamadan kullanım şartları ve gizlilik politikalarının
okunması gerektiğini, iletişimin gizliliğini ihlal eden veya verileri başka amaçla kullanan
uygulamaların tercih edilmemesini belirtti. Ücretsiz uygulamalar ilk başta cazip gözükse de kişisel
verilerin güvenliği bakımından risk oluşturduklarını bu nedenle dikkatli olunması gerektiği belirtti.
Kullanıcılara, bir uygulamayı indirmeden önce ANSSI tarfından onaylanmış giizliliği koruyan
çözümleri edinmelerini, uygulamayı bilinmeyen bir kaynaktan indirmemelerini, yalnızca verileri
açıkça nasıl kullanacaklarını belirten uygulamaları tercih etmelerini, uygulamayı indirmeden önce
kullanıcı yorumlarına göz atmalarını ve yayıncının uçtan uça şifreleme gibi güvenlik tedbirleri aldığını
doğrulamaları tavsiye edildi.
21 Nisan 2020
CNIL dijital ortamda reşit olmayanların haklarına ilişkin oluşturacağı yasal düzenlemeye ilişkin
kamuoyu araştırmasına başladı. GDPR tarafından düzenlenmesi üye devletlere bırakılmış bu
hususta Fransa Veri Koruma Yasası'nda 15 yaşından küçük çocukların kişisel verilerini ebeveyn onayı
ile dijital ortamda paylaşabileceği 15 yaşından büyük çocukların ise kendi rızaları ile kişisel verilerinin
işlenmesine müsade edebileceği düzenlenmiştir. Ancak bu denetimin nasıl yapılacağı, yaş
doğrulama ve onay prosedürü ve reşit olmayanların verileri üzerindeki hakların kullanıına dair
kurallar bulunmamaktadır. Yapılacak düzenleme ile söz konusu boşlukların doldurulması
hedeflenmekte.
30 Nisan 2020
CNIL 2019 yılında internet kullanıcılarının herkese açık verilerini toplayan ve ticari amaçlarla
kullanan şirketlerin Veri Koruma Yasası ve GDPR uyumluluğunu denetlemek amacıyla
gerçekleştirdiği incelemelere ilişkin raporu internet sitesinde yayımladı . Denetimlerin kaynağı, bu
durumun bireyler tarafından sık sık şikayetlere konu olmasıydı. CNIL konuya ilişkin açıklamasında
internette yer alan kişisel verilerin herkese açık olsa dahi herhangi bir veri sorumlusu tarafından
serbestçe yeniden kullanılamayacağını belirtti. CNIL, bu kullanımın veri mevzuatında yer alan, veri
toplama methodunda bilgi eksikliği, bireylerin rızası ve itiraz hakkına saygı hükümlerine aykırı
olduğunu açıklayarak şirketleri mevzuata uygun aksiyon almaya davet etti.
7 Nisan 2020
Kişisel Verileri Koruma Kurumu, uzaktan eğitim platformları hakkında kamuoyu duyurusu yayınladı.
Buna göre uzaktan eğitim platformlarında öğrencilerin ad, soyad, ses ve görüntü gibi kişisel
verilerinin işlendiğinin, söz konusu veri işleme faaliyetinin 6698 Sayılı Kanun’un 5 ve 6 ncı
maddelerinde yer alan şartlara uygun olarak yürütülmesi gerektiği belirtildi. Bununla birlikte
uzaktan eğitim amacıyla kullanılan platformlarının bir çoğunun veri merkezleri yurtdışında
olduğundan, yurtdışına aktarımın söz konusu olduğunu bu noktada Kanun’un 9 uncu maddesinde
yer alan şartlara uyulmaması halinde ihlal oluşturacağının altı çizildi.
7 Nisan 2020
6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlük tarihinin yıldönümü olan 7 Nisan tarihi
1 Eylül 2018 yılından beri Kişisel Verileri Koruma Günü olarak kutlanmaktadır. Halk arasında
farkındalığı arttırmak ve veri koruma kültürü oluşturmak amacıyla kutlanması öngörülen bugün de
Kişisel Verileri Koruma Kurumu Başkanı Prof. Faruk Bilir tarafından online bir konuşma
gerçekleştirildi. Bilir, 6698 sayılı Kanunla birlikte kişisel verisi işlenen ilgili kişilere birtakım haklar
getirildiğini ve bu haklar sayesinde bireylere verileri üzerine kontrol ve denetim yetkisi sağlandığını
ifade ederek Kişisel Verilerin Korunması Kanununun aslında herkesi ilgilendirdiğini belirtti.
Gündemdeki konulara da değinen Bilir, COVID-19 salgını ile mücadele sürecinde kamu sağlığının
korunması esas olduğunu, yetkili kamu kurum ve kuruluşları tarafından, sağlık verilerinin
işlenmesinin önünde bir engel bulunmadığının, yine yetkili kamu kurum ve kuruluşlarının kişilere
telefon, mesaj veya e-posta yoluyla toplum sağlığı ile ilgili mesajlar gönderebileceğinin, bu hususta
Kişisel Verilerin Korunması Kanunu açısından bir sakınca bulunmadığını sözlerine ekledi.
9 Nisan 2020
Kişisel Verileri Koruma Kurumu, COVID-19 ile mücadele kapsamında konum verisinin işlenmesi ve kişi
hareketliliklerinin izlenmesi hakkında bilinmesi gerekenler hakkında bir yazı yayınladı. Buna göre konum
verisinin KVKK kapsamında kişisel veri olarak nitelendirildiği, Kanun’un 28. maddesinin 1. fıkrasının (ç) bendi
uyarınca kamu düzeni ve kamu güvenliğini tehdit eden durumlarda bu tehdidi ortadan kaldırabilmek
amacıyla salgın hastalık teşhisi konmuş kişilerin bulaşıcılığının sürdüğü dönemde izolasyonlarının temin
edilmesine, genel nüfusun konum verilerinin işlenmesi suretiyle kalabalık alanların tespit edilmesine ve bu
kapsamda önlemler geliştirilmesine yönelik olarak yetkili kamu kurum ve kuruluşları tarafından
gerçekleştirilecek veri işleme faaliyetleri Kanunun istisna kapsamında değerlendirildiği belirtildi. Bununla
birlikte kişilerin konum verilerinin sağlık durumlarıyla ilişkilendirilmek suretiyle işlenmesi sürecinde söz
konusu verilerin üçüncü kişilerce ele geçirilmesi halinde ilgili kişiler bakımından ciddi zararlar ortaya
çıkabileceği dikkate alınarak, ilgili kurum ve kuruluşların kişisel verilerin güvenliğini sağlamaya yönelik gerekli
her türlü teknik ve idari tedbirleri almaları ve bu verilerin işlenmesini gerektiren sebeplerin ortadan kalkması
halinde söz konusu kişisel verilerin silinmesi veya yok edilmesi gerektiği önemle vurgulandı.
10 Nisan 2020
Kişisel Verileri Koruma Kurumu, bağlayıcı şirket kuralları hakkında açıklamada bulundu. Bağlayıcı
Şirket Kuralları, yeterli korumanın bulunmadığı ülkelerde faaliyet gösteren çok uluslu grup şirketleri
için kişisel verilerin yurt dışına aktarımında kullanılan ve yeterli bir korumanın yazılı olarak taahhüt
edilmesini sağlayan veri koruma kurallarıdır. Düzenlemeye göre, güvenli ülkeler arasında
sayılmayan ülkelere yapılacak aktarımlarda, aktarımın yapılacağı kişi ve aktarımı yapacak kişi
arasında imzalanan bir taahhütname ile Kuruldan izin alınması gerekmektedir. Bağlayıcı Şirket
Kuralları ile çok uluslu şirket toplulukları için veri aktarımını kolaylaştırması amaçlanmıştır.
16 Nisan 2020
Kişisel Verileri Koruma Kurumu ve İstanbul Teknik Üniversitesi, yapay zeka ve veri bilimi konularında
iş birliği yapmak üzere protokol imzaladı. KVKK Başkanı Prof. Dr. Faruk BİLİR, yapay zeka
teknolojisinin hız kazandığı bir dönemde, İTÜ ile imzalanan protokolün önemli olduğunu ifade etti.
Protokol kapsamında, iki kurum arasında kişisel verilerin korunması, veri mahremiyeti ve veri
güvenliğine ilişkin olarak ortak çalışmalar ve yayınlar yapılması, ulusal ve uluslararası projeler
yürütülmesi ve eğitim ve öğretim konularında iş birliği yapılması hedefleniyor.
23 Nisan 2020
Kişisel Verileri Koruma Kurumu, 23 Nisan Ulusal Egemenlik ve Çocuk Bayramı’nda çocukların kişisel
verilerinin korunması bakımından dikkat edilmesi gereken hususlara ilişkin bir yazı yayımladı. Kişisel
verilerin farkında olmaksızın paylaşımı neticesinde çocukların karşılaşabileceği Taciz, siber zorbalık,
uygunsuz materyallere erişim ve doğrudan pazarlamanın muhtemel olumsuz etkileri gibi
mağduriyetler dikkat çeken Kurum, bu noktada ebeveynlere her zamankinden daha fazla görev ve
sorumluluk düştüğünü belirtti. Bu kapsamda, öncelikle ailelerin çocukların kişisel verilerinin
korunması konusunda kendi bilgi ve farkındalıklarını artırması, devamında çocuklarını bu konuda
yönlendirmeleri ve kişisel veri mahremiyeti konusunu gündelik sohbetlerinin bir parçası haline
getirmeleri, yine çocuklara yönelik ürün ve hizmet geliştirenler tarafından 6698 sayılı Kanuna uyum
konusunda maksimum özenin gösterilmesi her zamankinden daha fazla önem arz ettiği belirtildi.
Kurum tarafından çocuklara yönelik farkındalık yaratmayı amaçlayan broşürler yayımlandı.
