info@srp-legal.com
Şakayıklı Sokak No:10 | Levent 34330 | İstanbul | Türkiye
 

Bilgilendirme2019 Ocak Ayına İlişkin Gelişmeler

7 Şubat 2019

Türkiye

  • Kişisel Verileri Koruma Kurulu dört ayrı veri ihlali bildirimi yayınladı.

Kişisel Verileri Koruma Kurulu (“Kurul”) 24 Ocak 2019 ve 25 Ocak 2019 tarihlerinde dört ayrı veri ihlali bildirimini internet sitesinde yayınladı. İlgili veri ihlali bildirimlerinin detayları ise şu şekilde:

  • Bulut tabanlı video hizmeti sunmakta olan Animoto Inc. (“Animoto”) unvanlı şirket,  sunucularında alışılmışın dışında ağ trafiği fark etmiş ve 6 Ağustos 2018 tarihinde veri ihlali yaşanmış olabileceği ihtimalini tespit etmiştir. Animoto’nun Kişisel Verileri Koruma Kurumu’na (“Kurum”) yaptığı bildirimde; veri ihlalinden dünya çapında 22 milyon kişinin etkilendiği ve Türkiye’de yaklaşık 90.000 kişinin veri ihlalinden etkilenmiş olabileceği belirtilmiştir.  Veri ihlalinden müşterilerin adı soyadı, kullanıcı adı (e-posta adresi), özetlenmiş (hashed) ve tuzlanmış (salted) şifreler, yüksek seviye coğrafi konum bilgisi (şehir ve ülkeye denk gelecek şekilde), cinsiyet ve doğum tarihi gibi bilgilerinin etkilenmiş olabileceği tespit edilmiştir. 
  • Satış sonrası hizmetler sunmakta olan Optimum Otomotiv Satış Sonrası Çözümleri Tic. A.Ş. (“Optimum”) sunucu sistemlerine Aralık 2018 tarihinde yetkisiz şifre girişi ile siber saldırı gerçekleştirildiği tespit edilmiştir. Veri ihlali bildiriminde; gerçekleştirilen siber saldırıya ilişkin hangi kişisel verilerin ele geçirildiği ve kimlere ait olduğu hakkında şirket teknik ekip tarafından detaylı bir rapor çalışmasına başlandığı ancak konunun teknik boyutu nedeniyle çalışmanın henüz sonuçlanmadığı belirtilmiştir. Siber saldırı sonucunda kendi çalışanlarına ait kişisel verilerinin etkilenmiş olabileceği fakat saldırının hangi müşterileri ve veri gruplarını etkilediğinin kesin olarak belirlenemediği belirtilmiştir. 
  • Filo ve araç kiralama hizmeti sunmakta olan TEB Arval Araç Filo Kiralama A.Ş.(“TEB Arval”), müşterilerine kiraladığı araçların hasar ve kaza süreçlerini yönetmek amacıyla Optimum’dan dış kaynak destek hizmeti almaktadır. TEB Arval, Optimum’a ait Optimum Çözüm uygulamasını kendi operasyonlarını yürütmekte kullanmaktadır. Uygulama; müşteri, sürücü, tedarikçi ve üçüncü kişilere ait bilgileri içermektedir.   11.01.2019 tarihinde TEB Arval internet sitesinde yer alan müşteri iletişim formu kullanılarak; Optimum Çözüm uygulamasına yetkisiz şekilde erişilmiş ve şirketlerine ait verilerin ele geçirildiği mesajı iletilmiştir. TEB Arval tarafından yapılan veri ihlali bildiriminde; 13 Eylül 2013 tarihinden itibaren TEB Arval’den bu uygulamayı kullanarak hasar ve kaza yönetimi hizmeti almış olanların söz konusu veri sızıntısından etkilenmiş olabileceği değerlendirilmektedir. 
  • Veri sorumlusu sıfatına haiz ALD Automotive Turizm Ticaret A.Ş. (“ALD Automotive”) unvanlı şirket müşterilerine kiralık olarak kullandırdığı araçlar ve süreçler ile ilgili Optimum’dan çeşitli hizmetler almaktadır. Optimum tarafından yönetilen sistemde ALD Automotive tarafından ticari faaliyeti kapsamında birçok kişisel veri işlenmektedir. Optimum, ALD Automotive ile iletişime geçerek internet sitelerine yasa dışı yollarla girildiği ve sunuculara ulaşıldığı bilgisini vermiştir. Veri ihlali bildiriminde siber saldırı sonucunda veri kopyalama yapılıp yapılmadığı, yapıldı ise hangi verilerin kopyalandığına ilişkin ALD Automotive ile bilgi paylaşılmadığı belirtilmiştir. 
  • Paya Dayalı Kitle Fonlaması Tebliğ Taslağı sektörün görüşüne sunuldu.

Uzun bir süredir beklenen kitlesel fonlamaya ilişkin ikincil mevzuat düzenlemesi,  Sermaye Piyasası Kurulu (“SPK”) tarafından Paya Dayalı Kitle Fonlaması Tebliğ Taslağı (“Taslak Tebliğ”) başlığı ile 3 Ocak 2019 tarihinde kamuoyu görüşüne sunuldu. Paya dayalı kitle fonlaması ile pay karşılığında kitle fonlaması platformları aracılığıyla halktan para toplanması düzenlenmektedir. Taslak Tebliğ ile kitle fonlama platformlarına, bu platformların faaliyetlerine, bu platformlara üyelik ve kampanya sürecine ve fon kullanım yerlerine ve girişim şirketlerine ilişkin usul ve esaslar belirlenmektedir. Bu düzenleme ile teknoloji veya üretim sektöründe faaliyet gösteren girişimci şirketlere kitlesel fonlama yapabilme hakkı tanınmaktadır. 

Taslak Tebliğ’e ilişkin görüşler, 4 Şubat 2019 tarihine kadar SPK’ya iletilebilecektir.

  • Bilgi Teknolojileri ve İletişim Kurumu 2019 Yılı İş Planı yayınladı.

Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) geçtiğimiz günlerde 2019 Yılı İş Planı’nı (“İş Planı”) resmi internet sitesi üzerinden kamuoyu ile paylaştı. BTK’nın önümüzdeki yıl içinde yürüteceği çalışmalar ve ilişkili stratejik plan hedeflerinin ortaya konduğu İş Planı’nda göze çarpan detaylar şu şekildedir:

  • “Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğin Korunmasına İlişkin Yönetmelik” çıkarılması planlanmaktadır. Mayıs 2019 itibariyle tamamlanması beklenen yönetmelik çalışması ile tüketicilerin elektronik haberleşme hizmetlerinden azami seviyede yararlanması ve mağduriyetlerin en aza indirilmesi amaçlanmaktadır. 
  • Yerli ve milli ürün portalı kurarak, sektörel yetenek matrisinin oluşturulması hedeflenmektedir. BTK tarafından kurulacak olan bu portal ile elektronik haberleşme sektöründe faaliyet gösteren işletmeciler ile üretici firmaları bir araya getirmek ve üreticilerin ürünlerini işletmecilerin ise ihtiyaçlarını ilgililere duyurabilmesi hedeflenmektedir.
  • Elektronik Haberleşme Sektörüne İlişkin Yetkilendirme Yönetmeliği’nde değişiklik yapılması planlanmaktadır. Yönetmelik değişikliği çalışmalarının Ocak 2019 tarihi itibariyle başlayarak Aralık 2019 tarihinde tamamlanması öngörülmektedir. 

Avrupa

  • Fransa, güvenlik gerekçeleriyle 5G telekomünikasyon cihazlarına erişimi zorlaştırdı.

Fransız hükümeti, cihaz üreticilerinin gelecekte 5G telekomünikasyon ağlarına erişimlerini zorlaştırmaya hazırlanıyor. Maliye Bakanlığı’na göre Fransız hükümeti, cihazlara yönelik işlemlerin daha katı hale getirilmesi ve tedarikçilerin gözetiminin artırılması amacıyla ilgili düzenlemelerde değişiklikler yapmaktadır. Bu doğrultuda yeni düzenlemeler, 25 Ocak 2019 tarihinde oylanmak üzere Senato’ya gönderilmiştir. 

  • Fransız Veri Koruma Otoritesi  (“CNIL”) tarafından Google’a 50 milyon Euro para cezası uygulandı.

25 ve 28 Mayıs 2018 tarihlerinde kar amacı gütmeyen iki farklı Fransız kuruluşu tarafından 9 bini aşkın kullanıcı adına Google’ın hukuka aykırı şekilde veri işlediği yönünde şikâyette bulunulmuştur. CNIL tarafından şikâyetlerin değerlendirilmesi sürecinde; özellikle kişiselleştirilmiş reklam uygulamaları başta olmak üzere geçerli bir hukuki sebebe dayanmayan veri işleme faaliyetleri nedeniyle Avrupa Birliği Veri Koruma Tüzüğü’nün (General Data Protection Regulation; GDPR) ihlal edildiğine karar verilmiştir. CNIL tarafından yapılan incelemede GDPR ihlalinin iki şekilde gerçekleştiği tespit edilmiştir:

  1. Şeffaflık İlkesine ve Aydınlatma Yükümlülüğüne Aykırılık 

CNIL, Google tarafından sağlanan bilgilendirmenin kullanıcılar açısından kolay erişilebilir  olmadığı ve çok genel ifadeler içermesi nedeniyle anlaşılabilir olmadığına kanaat getirmiştir.  Bu noktada veri işleme amaçları, veri saklama süreleri veya kişiselleştirilmiş reklam uygulaması için işlenen veri kategorileri gibi gerekli bilgilere, farklı dokümanlar üzerinde, birden fazla link/sekme vasıtasıyla dağınık şekilde yer verilmiş olduğu ve de bazı durumlarda ilgili bilgiye ulaşabilmek için birkaç aşamanın geçilmesi gerektiğine dikkat çekilmiştir. 

  1. Veri İşleme Faaliyeti için Hukuki Sebebin Bulunmaması 

CNIL, kişiselleştirilmiş reklam uygulamaları için Google’ın kullanıcılardan almış olduğu rızaların geçersiz olduğuna kanaat getirmiştir. Bu kapsamda rıza almak için gerekli olan bilgilerin farklı dokümanlara dağıtılmış olması ve rızaların belli bir konuya ilişkin olmadan ve özgür bir iradeye dayanmadan verildiği belirtilmiştir. Kullanıcı, bir hesap oluşturduğunda, kişiselleştirilmiş reklamlar da dahil olmak üzere kendisine özgü kullanım tercihlerinde bulunabilirken kişiselleştirilmiş reklam uygulamalarının halen daha ön onay kutucukları ile ekranda belirmesinin; GDPR’ın rızaların özgür iradeyle verilen irade beyanına dayanıyor olması kuralına aykırı olduğuna kanaat getirilmiştir. Buna ek olarak Google’ın uygulama itibariyle hesap oluşturma aşamasında kullanıcılardan onay kutularının işaretlenmesi suretiyle tüm kişisel veri işleme süreçlerine ilişkin tek bir rıza almasının da  GDPR’ın rıza için belirlediği şartlardan olan “belirli bir konuya ilişkin olma” şartına aykırılık teşkil etmektedir. 

Yukarıda sayılan gerekçelerle, CNIL, Google’a GDPR’da yer alan şeffaflık ilkesi, aydınlatma ve rıza alma yükümlülüklerine aykırı hareket edilmesi sebebiyle 50 milyon Euro idari para cezası yaptırımı uygulanmasına karar vermiştir.  

  • Genel Mahkeme Slovak Telekom ve Deutsche Telekom dosyasında son kararı verdi.

Slovakya’da yetkilendirilmiş olan Slovak Telekom ve hakim teşebbüs Deutsche Telekom 2014 yılında Avrupa Birliği Komisyonu (“Komisyon”) tarafından yürütülen bir soruşturmaya konu olmuştu. Slovak Telekom, Slovakya’da 2000 yılına kadar monopol konumda faaliyet göstermiş ancak 2000’lerin başından itibaren Slovak telekomünikasyon pazarının rekabete açılmasıyla yerel ağlarını pazara giren diğer operatörler ile paylaşmak durumunda kalmıştır. Komisyon 15 Ekim 2014 yılında vermiş olduğu kararda; Slovak Telekom ve Deutsche Telekom’un bir iştirakleri vasıtasıyla 12 Ağustos 2005 ve 31 Aralık 2010 tarihleri arasında süreklilik arz eden tek bir ihlalin parçası olduğunu tespit etmiştir. Bu ihlal sebebiyle Komisyon tarafından Slovak Telekom ve Deutsche Telekom’a müştereken 38.8383,00 Euro idari para cezası verilmesine karar verilmiştir. Ayrıca ihlalin tekerrür etmesi ve cirosu sebebiyle Deutsche Telekom’a ayrıca 31.070,00 Euro para cezası verilmiştir. Slovak Telekom ve Deutsche Telekom kararı itiraz yoluyla birlik ilk derece mahkemesi olan Genel Mahkeme’ye taşımıştır. 

Genel Mahkeme yaptığı inceleme sonucunda, Komisyon’un tarafların hakim durumlarını kötüye kullandıklarına dair gerekçelerini büyük ölçüde kabul ederken; kararı kısmen iptal etmiş ve verilmiş olan para cezalarında indirime gitmiştir.

Bu gerekçelerle Genel Mahkeme, Komisyon’un vermiş olduğu idari para cezalarından ortak cezanın yaklaşık 800.000,00 Euro’luk kısmını ve Deustche Telekom için verilen cezanın ise 11.000,00 Euro’luk kısmının indirilmesine karar vermiştir.

  • İngiltere Yüksek Mahkemesi’nden Uber sürücülerine ilişkin beklenen karar geldi.

Londra’da faaliyet gösteren Uber sürücüleri, fazla çalışma ve izin ücretlerine ilişkin 2015 yılında İlk Derece İş Mahkemesi’nde açılan davada Uber, sürücülerin bağımsız çalışan olduklarını ve Uber ile aralarındaki ilişkilerinin aracı ilişkisi olduğu savunmasını yapmıştır. İlk Derece İş Mahkemesi Uber’in savunmasını reddederek; Uber sürücülerinin Uber’in işçisi olduğuna, taraflar arasındaki ilişkinin ise iş ilişkisi olduğuna karar vermişti. Karara karşı Uber, İngiltere Hukuku kapsamında temyiz yoluna başvurmuştur. İngiltere Temyiz Mahkemesi, 19 Aralık 2018 tarihinde vermiş olduğu kararda Uber’in sürücü koşullarını tek taraflı değiştirme yetkisi, yolculuk ücret tarifesinin Uber tarafından belirlenmesi, sürücü puanlama sistemi uygulaması ve yolcunun uygulamaya aktardığı verilerin kontrolünün Uber’de olması gibi hususları değerlendirerek; İlk Derece İş Mahkemesi’nin kararını onamıştır. Uber’in bu davasının, dijital platform üzerinde faaliyet gösteren şirketlerin çalışanlarına ilişkin davalarda emsal nitelikte olması beklenmektedir. 

  • Moda devi Guess’e internet satışlarını engellemesi sebebiyle idari para cezası verildi. 

Birçok tescilli marka ile dünyada moda sektörünün öncü isimlerinden olan Guess, Avrupa Ekonomik Bölge’sinde kalite standartlarını esas alan bir seçici dağıtım sisteminde faaliyet göstermektedir. Ekonomik Bölge içerisinde faaliyet gösteren teşebbüsler bu şekilde seçici dağıtım sistemini benimserken sistem içerisinde yetkili kılınan satıcılar, dağıtım sözleşmelerinin konusu olan ürünleri çevrimiçi ortamda satışa sunmak, reklamını yapmak ve sınır ötesi satışını gerçekleştirmekte özgürdür. 

Haziran 2017’de Komisyon, Guess’in Avrupa Ekonomik Bölge içerisinde akdetmiş olduğu dağıtım sözleşmelerine ve uygulamalarına yönelik soruşturma başlatmıştır. Soruşturma sonucunda Guess’in yetkili satıcılarının;

  • Guess markasını ve diğer ticari markalarını çevrimiçi arama reklamcılığı amacıyla kullanmalarını,
  • Guess tarafından önceden özel bir yetkilendirme olmaksızın internet satışı gerçekleştirmelerini, (Guess’in bu konuda herhangi bir kalite unsuru içermeyen bir takdir yetkisinin olduğu tespit edilmiştir)
  • Yetkili satıcıların tahsis edilmiş bölgeleri dışında bulunan tüketicilere satış yapmalarını,
  • Yetkilendirilmiş perakendeci ve toptancı satıcılar arasında gerçekleşen satış faaliyetlerini ve;
  • Guess ürünlerinin satılacağı perakende fiyatının bağımsız olarak belirlenmesini

engellediği Komisyon tarafından tespit edilmiştir. Komisyon tarafından yapılan açıklamaya göre Guess’in yürüttüğü bu tür faaliyetler Avrupa pazarını böldüğü gibi Orta ve Doğu Avrupa ülkelerindeki fiyatların ortalamaya göre daha yüksek olmasına sebebiyet vermektedir. Guess’in bu yöndeki uygulama ve anlaşmalarının, tüketicilerin Avrupa tek pazarından sağladığı faydalardan olan sınır ötesi alışveriş yapabilme gibi imkânlardan mahrum bıraktığı belirlenmiştir. 

Guess, ihlal henüz ortaya çıkmadan önce uygulama ve anlaşmaları Komisyon’a taşıması ve soruşturma sırasında Komisyon’un elindeki delillere önemli ölçüde katma değer katan ve ihlali ispatlamasını sağlayan delilleri sağlaması sebebiyle verilen idari para cezasında %50 oranında indirim uygulanmıştır. Soruşturma neticesinde indirim ile birlikte Guess’e sağlanan idari para cezası 40 milyon Euro’dur.  

Dünyadan

  • Dünya GSM Birliği Davos Zirvesi’nde “Dijital Deklarasyon”u açıkladı.

Dünya’da 800’den fazla iletişim operatörünü barındıran ve mobil iletişim sektörünün gelişmesine katkıda bulunmak için çalışmalar yürüten Dünya GSM Birliği (“GSMA”), Davos’taki Dünya Ekonomik Forumu’nda “Dijital Deklarasyon”unu açıkladı. Deklarasyon, dijital çağda etik davranmaya işaret eden ve şirketlerin dijital vatandaşlar, endüstri ve hükümetler için önemli olanı sunmalarına yardımcı olan kilit ilkeleri ele almaktadır. Deklarasyon aynı zamanda dijitalleşen dünyada zorlukları paylaşan yöneticilerin sektörler arası hareketini temsil etmektedir. Deklerasyon içeriğinde dikkat çeken husus ise dijital vatandaşların mahremiyetine saygı göstermek, kişisel verileri güvenli ve şeffaf bir şekilde işlemek ve siber saldırıları en aza indirmek için anlamlı adımların atılması konusunda şirketlere çağrıda bulunmasıdır. 

  • Tüketicilerin 5G teknolojisine ve cihazların geleceğine bakışları GSMA tarafından yürütülen araştırma sonucunda ele alındı.

GSMA kuruluşunun araştırma ve danışmanlık kolu olan GSMA Intelligence tarafından yapılan tüketici anketinin sonuçları internet sitesinde kamuoyu ile paylaşıldı. 2018 GSMA tüketici araştırma anketinde; akıllı telefon kullanımının tüketici elektroniği anlamına geldiği, internet erişim kanallarının kullanımının her zamankinden daha üst bir noktaya ulaştığı,  smart speaker cihazlarının gelişmekte olan ülkelerde kullanımının son 12 ay boyunca iki katına çıktığını; gelişmiş ülkelerde tüketicilerin çoğunun 5G ağlarının daha hızlı erişim imkanı sağlayacağını fakat daha hızlı erişim için fazladan bedel ödeyip ödemeyecekleri hususunun net olmadığı; tüketicilerin sadece yüzde 25’inin 5G’nin “yenilikçi yeni hizmet”ler sunacağına inanmadığı ve yalnızca yüzde 20’sinin 5G ile yeni bir cihaz çağına girileceğine inandığı tespitleri yer almıştır. 

  • Birleşmiş Milletler, Dünya Ekonomik Formu ve iş ortakları e-atık sorunları için bir araya geldi.

Dünya Ekonomik Forumu ve Dünya Sürdürülebilir Kalkınma İş Konseyi tarafından desteklenen 7 (yedi) Birleşmiş Milletler kuruluşu elektrik ve elektronik atık (“e-atık”) sorunlarını daha iyi ele almak için bir araya geldi. Yayınlanan ortak raporda,  dünya üzerinde yıllık yaklaşık 50 milyon ton e-atık üretildiği belirtilmiştir. Bu miktar aynı zamanda şimdiye kadar yapılan tüm ticari uçakların ağırlığından daha fazla olup bu atıkların ise sadece %20’si geri dönüştürülmektedir. Birleşmiş Milletler Üniversitesi, hiçbir şeyin değişmemesi halinde, e-atık miktarının 2050 yılı itibariyle üç katına çıkacağını tahmin etmektedir. Her ne kadar e-atık miktarı yıllar geçtikçe büyüse de raporda nesnelerin internetinden (Internet of Things; IoT) bulut bilişime kadar yeni teknolojilerin büyük bir potansiyel taşıdığı ve “kaydileştirme” daha verimli ürün takibi ve geri dönüşümde önemli rol oynayacağı işaret ediliyor. 

  • Uluslararası Telekomünikasyon Birliği, 2018 yılı dünya ve bölgesel değerleri yayınladı.

Birleşmiş Milletler bünyesinde bilgi ve iletişim teknolojileri konusunda uzmanlaşmış bir kuruluş olan Information Telecommunications Union (“ITU”), 2018 sonunda küresel nüfusun yüzde 51,2’sinin, 3,9 milyar insanın, internet kullanmakta olacağını tahmin ediyor. Temel haberleşme servislerinde ise mobil erişim daha baskın hale gelmektedir. Sabit telefon abonelikleri, 2018’de yüzde 12,4’lük penetrasyon oranıyla düşmeye devam ederken, mobil cep telefonu abonelikleri sayısı, küresel nüfustan daha fazladır. Son beş yılda mobil hücresel aboneliklerdeki büyüme, Asya-Pasifik ve Afrika bölgelerindeki ülkeler tarafından gerçekleştirildi. Amerika ve bağımsız devletler topluluğu bölgesinde büyüme küçükken, Avrupa ve Arap bölgesindeki ülkelerde de düşüş gözlenmiştir. Geniş bant erişimi, sürekli bir büyüme göstermeye devam etmektedir ve sabit geniş bant abonelikleri sürekli artmaktadır. 

  • Uluslararası Telekomünikasyon Birliği 2018 yılı Bilgi Toplumunun Ölçümü Raporu’nu yayınladı. 

Uluslararası Telekomünikasyon Birliği, tarafından yayınlanan 2018 yılı Bilgi Toplumun Ölçümü Raporu, insanların gün geçtikçe internete erişimi artmaktayken aynı zamanda kişilerin bir araya getirilmesinde güçlü bilişim ve iletişim teknolojilerine (information communication technologies; “ICT”) ihtiyaç olduğunu işaret etmektedir. Bu gelişmelerin yanı sıra aynı zamanda ICT fiyatlarının da küresel ölçekte düşmekte olduğuna işaret edilmiştir. Geliştirilmiş ICT düzenlemeleri ve politikalar, ICT’ler üzerinden elde edilen verimliliğin tüketicilere yansımasını sağlayarak, fiyatların düşürülmesine yönelik koşulların oluşturulmasında da önemli rol oynamaktadır. Raporda değinilen bir diğer husus ise; gelişmiş ülkelerdeki kişilerin gelişmekte olan ülkelerdeki kişilere göre daha fazla ICT becerisine sahip olduğudur. ICT becerilerindeki eksiklik ve yetersizlikler gelişmekte olan ülkelerin ve az gelişmiş ülkelerin sosyo-ekonomik gelişimini ciddi şekilde kısıtlamaktadır. Raporda, ICT kullanımındaki eşitsizliklerin, dünyanın farklı bölgelerinde eğitim, servet ve cinsiyetle ilgili diğer eşitsizlikleri de beraberinde getirdiği ortaya koyulmaktadır.

<<<
2018 Aralık Ayına İlişkin Gelişmeler
>>>
Bilgilendirme - Veri İhlali Bildirimleri