info@srp-legal.com
Şakayıklı Sokak No:10 | Levent 34330 | İstanbul | Türkiye
 

Bilgilendirme2019 Temmuz Ayına İlişkin Gelişmeler

10 Ağustos 2019

Türkiye

  • Kişisel Verileri Koruma Kurumu yeni karar özetlerini yayınladı.

Kişisel Verileri Koruma Kurumu (“Kurum”) almış olduğu kararlardan bazılarını özet olarak geçtiğimiz ay boyunca internet sitesinde yayınladı. Temmuz ayı boyunca yayınlanan karar özetlerinin detayları ise şu şekildedir.

  • 31 Mayıs 2019 tarih ve 2019/159 sayılı Karar : Veri sorumlusu bir varlık yönetim şirketinin (“Şirket”) ilgili kişiye açık rızası olmaksızın aynı konu ile ilgili birden çok mesaj göndermesi neticesinde ilgili kişi veri sorumlusuna başvuru yapmış; yapmış olduğu başvuruya herhangi bir cevap alamaması nedeniyle Kişisel Verileri Koruma Kurulu’na (“Kurul”) şikâyette bulunmuştur. Kurul tarafından yapılan inceleme neticesinde:

(i) veri sorumlusundan alınan cevabi yazı ekinde ilgili kişiye cevap verdiğinin görülmesi ve cevap yazısında ilgili kişinin tüm taleplerinin cevaplanmış olması sebebiyle veri sorumlusu hakkında yapılacak bir işlem olmadığı;

(ii) veri sorumlusu varlık yönetim şirketinin ilgili kişinin kişisel verisi olan telefon numarası verisini elde etmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) 5. maddesinde yer alan hukuka uygunluk nedenlerine girdiğinden açık rızaya ihtiyaç duyulmayacağı;

(iii) öte yandan ilgili kişinin telefon numarasına aynı içerikteki mesajların farklı tarihlerde birden fazla kere gönderilmesinin veri sorumlusunun sahip olduğu hakkın kötüye kullanımı olarak değerlendirildiği ve bu durumun kişisel verilerin işlenmesinin hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiği

göz önünde bulundurularak, veri sorumlusu Şirket hakkında 20.000 TL idari para cezası uygulanmasına karar verilmiştir.

  • 05.2019 Tarihli ve 2019/162 Sayılı Karar : Veri sorumlusu bir anonim şirket tarafından ilgili kişiye açık rızası olmaksızın elektronik ticari ileti gönderilmesi üzerine ilgili kişi kişisel verilerinin nasıl ve nerden temin edildiğini bilmemesi ve buna ilişkin olarak da kişisel verilerinin açık rızası olmaksızın kullanılması dolayısıyla veri sorumlusundan bilgi talebinde bulunmuş; ancak yasal süre içerisinde veri sorumlusu tarafından herhangi bir cevap verilmemesi üzerine Kurum’a şikayet yoluna gitmiştir. Kurul tarafından yapılan inceleme neticesinde; şikâyetçinin kişisel verisi olan telefon numarasının veri sorumlusu tarafından reklam içerikli mesaj gönderilmesi suretiyle kullanılmasının bir kişisel veri işleme faaliyeti teşkil ettiği ancak bu işleme faaliyetinin Kanun’daki işleme şartlarından herhangi birine dayandırılamadığı değerlendirilmiştir. Bu nedenle, veri sorumlusu şirket tarafından hukuka aykırı kişisel veri işleme faaliyetini engellemeye yönelik uygun güvenlik düzeyini temin edici gerekli teknik ve idari tedbirlerin alınmadığı gerekçesiyle veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.
  • 25 Mart 2019 tarih ve 2019/81 sayılı ve 31 Mayıs 2019 tarih ve 2019/165 sayılı Kararlar:

Spor salonu hizmeti sunan iki ayrı veri sorumlusu şirketin üyelerinin giriş-çıkış kontrolünde uygulanan el-avuç okutma sisteminde üyelere ait biyometrik ve genetik verileri işlemesi ve bu verilerin güvenli şekilde muhafaza edildiğinden şüphe duyulması üzerine ilgili kişilerce Kurum’a yapılan muhtelif şikâyet ve ihbarlar incelenmiştir.  Kurul yaptığı değerlendirmede Avrupa Genel Veri Koruma Tüzüğü’ne (“GDPR”) ve Danıştay 15. Dairenin 2014/4562 Esas sayılı kararına yaptığı atıflarla veri sorumlularının özel nitelikli kişisel veri işleme faaliyeti gerçekleştirdiği sonucuna varmıştır. Böylelikle Kurul ilgili kararında:

  • Spor tesisine giriş esnasında el ve parmak izinin taranması suretiyle kişilerin kimlik doğrulamasının yapılması hususunda adı geçen veri sorumlusunun özel nitelikli kişisel veri niteliğindeki biyometrik veri işleme faaliyetinde bulunduğu,
  • Spor salonuna giriş için veri sorumluları tarafından uygulanan “el ve parmak izi taraması” sisteminin, hizmetten faydalanmak için zorunlu ve tek yol olarak üyelere sunulmasının, kişisel verilerin işlenmesinde ölçülülük ilkesi ışığında ilgili kişilerden minimum düzeyde veri talep etme ilkesi ile uyumlu olmadığı ve;
  • Veri sorumlularının üyeler ile arasındaki sözleşmelerin akdedilmesi için özel nitelikli kişisel veri olan avuç içi izinin alınmasına onay verilmesinin zorunlu bir şart olarak sunduğu ve üyelerin kulüplere girişlerde avuç içi izi bilgilerinin alınmasına rıza göstermemeleri halinde söz konusu hizmetten yararlanamayacakları dikkate alındığında, üyeler tarafından verilen açık rızaların özgür iradeye dayalı olduğunu söylemenin mümkün bulunmadığı

değerlendirilerek veri sorumlusunun hukuka aykırı olarak veri işleme faaliyetini önleme yükümlülüğüne aykırılık teşkil etmesi nedeniyle Kurul’un 21/12/2017 tarih ve 2017/62 sayılı “Banko, Gişe, Masa Gibi Hizmet Alanlarında Kişisel Verilerin Korunması”na ilişkin Kararı çerçevesinde üyelere ait kişisel bilgilerin üçüncü kişiler tarafından görülmesini önleyecek gerekli teknik ve idari tedbirleri alınmaması nedeniyle spor kulüplerine idari para cezası uygulanmasına ve ayrıca;

  • Spor Kulübünde kulüp hizmetlerinden yararlanmak isteyen kişilere ilişkin giriş kontrollerinin biyometrik verileri işlemenin haricinde alternatif yollar ile sağlanması ve biyometrik veri işlemenin ivedilikle durdurulması;
  • Veri sorumluları tarafından bugüne kadar işlenen ve muhafaza edilen el, parmak ve avuç izi ile ilgili verilerin Kanunun 7 nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümlerine uygun olarak ivedilikle yok edilmesi, eğer ilgili özel nitelikli verilerin üçüncü kişilere aktarılması söz konusu ise yok etmeye yönelik işlemlerin bu verilerin aktarıldığı üçüncü kişilere ivedilikle bildirilmesinin sağlanması

hususlarında veri sorumlusunun talimatlandırılmasına karar vermiştir.

  • 31/05/2019 Tarihli ve 2019/166 Sayılı Karar : İlgili kişi, telefon numaralarına gönderilen ve kendisine ait olmayan içerik barındıran kısa mesaj (SMS) nedeniyle veri sorumlusuna başvurmuş ve veri sorumlusu tarafından verilen cevapta bu durumun personel hatasından kaynaklandığı ve başka bir aboneye ait giriş yapılırken 1 rakam hatası sonucunda ilgili kişiye SMS gönderildiği tespit edilerek yanlışlığın derhal düzeltildiği belirtilmiştir. Ancak ilgili kişi, kendisine gönderilen SMS’te kişisel verileri yer alan kişinin yeğeni olduğunu ve yeğeninin telefon numarası ile kendisine ait telefon numarasının 1 rakam değişikliği / yanlışlığı ile karıştırılmasının mümkün olmadığını belirterek veri sorumlusu hakkında gereğinin yapılması talebiyle Kurul’a başvuruda bulunmuştur. Kurul, yapmış olduğu incelemede;

(i) veri sorumlusunun şikâyetçinin yeğeni olduğu anlaşılan şahsın kişisel verilerini şikâyetçiye ait hatta göndermesi ve;

(ii) şikâyetçiye ait telefon numarasını Kanun’da düzenlenen işleme şartlarından herhangi birine dayanmaksızın işlemesi

nedeniyle tek bir harekete bağlı iki farklı veri işleme faaliyetinde bulunduğunu tespit etmiş ve Kanun’un 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen “Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek” yükümlülüğünü yerine getirmediği anlaşılan veri sorumlusu avukat hakkında Kanun’un 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarında 50.000 TL idari para cezası uygulanmasına karar vermiştir.

  • 1 Temmuz 2019 tarih ve 2019/188 sayılı Karar: Öğrencilerin kişisel verisi niteliğindeki sınav sonuçlarını internet ortamında yayımlayan Mimar Sinan Güzel Sanatlar Üniversitesi’nin (“MSGÜ”) bu uygulaması hakkında Kurum’a başvuru yapılmıştır. Kurul tarafından başlatılan incelemede, veri sorumlusu MSGÜ’ye iletilen bilgi belge talebi yazısına Kanun’da belirtilen yasal süre içinde yanıt verilmediği de dikkate alınarak yapılan değerlendirme neticesinde;
  • Bilgi talebine istinaden Yükseköğretim Kurulu tarafından verilen cevabı yazıda; üniversitelerin sınav sonuçlarını ne şekilde duyuracağı ve bu sonuçları ne kadar süre ile erişime açık tutacağına ilişkin düzenlenmelerin üniversitelerin kendi mevzuatında yer aldığı ve karar verme yetkisinin de yine üniversitelerde olduğu kanaatine varıldığı,
  • Mimar Sinan Güzel Sanatlar Üniversitesi Lisansüstü Öğretim Yönetmeliği’nin 8 inci maddesinin “Lisansüstü programlara kabul edilen öğrencilerin listesi enstitü yönetim kurulu kararı ile kesinleşir ve enstitü müdürlüğü tarafından duyurulur.” şeklinde düzenlendiği ve söz konusu düzenlemenin somut olayda üçüncü kişilerin erişimine açık bir duyuru yöntemiyle yerine getirildiği;
  • Ancak, söz konusu duyuru yönteminin Kanun hükümleri çerçevesinde değerlendirildiğinde kişisel veriler bağlamında mahremiyet odaklı olmayıp; sınava giren bireylerin kişisel verilerinin herhangi bir işleme şartına dayanmaksızın üçüncü kişilerin de kolaylıkla ulaşabileceği şekilde açıklandığı kanaatine varıldığı;
  • Bu kapsamda, sınav sonuç duyuru sisteminin üniversite tarafından tekrar gözden geçirilerek ÖSYM’nin sonuç açıklama yöntemine benzer bir düzenleme ile kişisel verilerin paylaşımında mahremiyet odaklı bir anlayışı uygulamaya koyması gerektiği

değerlendirilmiştir. Kurul, bu değerlendirmeden hareketle MSGSÜ’ye iletilen bilgi belge talebi yazısının Kanun’da belirtilen yasal süre içinde yanıtlanmaması suretiyle ilgili Kurul kararının gereğinin yerine getirilmemesinin Kanunun 15 inci maddesinin (3) numaralı fıkrasına aykırılık oluşturduğunu dikkate alarak MSGSÜ’de görevli sorumlular hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası çerçevesinde disiplin hükümlerine göre işlem yapılmasına ve MSGSÜ sınav sonuç duyuru sisteminin yeniden tasarlanması yönünde MSGSÜ’nün talimatlandırılmasına karar vermiştir.

  • Kişisel Verileri Koruma Kurumu yurtdışından kurumsal e-posta hizmeti alınmasını yurt dışına veri aktarımı olarak değerlendirdi.

Kişisel Verileri Koruma Kurulu (“Kurul”), bir veri sorumlusunun sunucuları yurtdışında bulunan bir şirket tarafından sağlanan kişisel e-posta hizmetinin açık kaynak kodlu e-posta hizmeti aracılığıyla kurumsal e-postalar için kullanılıp kullanılamayacağına dair görüş talep edilmesi üzerine önemli bir karar vermiştir. Kurul, kararında Gmail’in veri merkezlerinin dünyanın çeşitli yerlerinde farklı ülkelerde bulunması sebebiyle, veri sorumluları tarafından Gmail e-posta hizmetinin tedarik edilmesi ve altyapısının kullanılması durumunda kişiler tarafından alınan/gönderilen e-postaların kişisel verilerin yurtdışına aktarılması söz konusu olacağını karara bağlamıştır. Böylelikle, kurumsal e-posta hosting hizmeti için Gmail hizmetini temin eden veri sorumlularının kişisel verilerin yurtdışına aktarılmasını düzenleyen 6698 sayılı Kişisel Verilerin Korunması Kanun’un 9. maddesine uyum sağlamakla yükümlü tutulacağı belirtilmiştir. Kurul, ayrıca Gmail gibi sunucuları yurtdışında bulunan veri sorumlularından temin edilen saklama hizmetlerinin de kişisel verilerin yurtdışı aktarımı düzenlemelerine uygun olarak gerçekleştirilmesine karar vermiştir.

  • Kalkınma Planı Resmi Gazete’ de yayınlandı.
  1. Kalkınma Planı (“Plan”), 3067 Sayılı Kalkınma Planlarının Yürürlüğe Konması ve Bütünlüğünün Korunması Hakkında Kanun gereğince, Türkiye Büyük Millet Meclisi tarafından 18.07.2019 tarihinde onaylanmış ve 24.07.2019 tarihinde Resmi Gazete’de yayımlanmıştır. Plan, Cumhurbaşkanlığı Hükümet Sistemi’nin ilk kalkınma planı olup; Türkiye Cumhuriyeti’nin uzun dönemdeki vizyonunu ve hedeflerine ilişkin ilk dilim olan 2019 – 2023 yılları arasında (“Plan Dönemi”) izlenecek yol haritasını ortaya koymaktadır. Plan Dönemi içerisinde, ekonomi yapısının uzun vadede istikrarı ve sürdürülebilirliği sağlayacak şekilde dönüşüme tabi tutulması, eğitim hamlesiyle beşeri sermayenin, milli teknoloji hamlesiyle teknoloji ve yenilik kabiliyetinin artırılması hedeflenmektedir. Küresel gelişimlerin ve eğilimlerin de ele alındığı Rapor’da, sanayide dijitalleşmenin güçlenmesi; paylaşım ekonomisi iş modellerinin giderek yaygınlaşması ve sosyal medya, e-ticaret gibi bilgi platformlarına vurgu yapılmaktadır. Plan kapsamında “İstikrarlı ve Güçlü Ekonomi” ve “Rekabetçi Üretim ve Verimlilik” başlıkları altında yer alan ve dikkat çeken bazı hedefler şu şekildedir:
  • Yenilikçi projelerin finansmanı için kitle fonlaması gibi modern ve yeni nesil finansman modelleri ülkemiz sermaye piyasalarına kazandırılacaktır.
  • Uluslararası ticaret sisteminde kabul görecek alternatif para ve ödeme sistemleri geliştirilmesi amacıyla ülke işbirlikleri tesis edilecek ve çalışmalar sürdürülecektir.
  • Blokzincir tabanlı dijital merkez bankası parası uygulamaya konulacaktır.
  • Uluslararası iyi uygulamalardan yararlanılarak firmalara fırsat eşitliği sağlayan, güvenli bir finansal teknoloji (fintek) ekosisteminin oluşumu desteklenecektir.
  • Ödeme Hizmetleri ve Elektronik Para Kuruluşları Birliği kurulacaktır.
  • Açık bankacılık hukuki altyapısını güçlendirmek amacıyla AB Ödeme Hizmetleri Direktifi 2 ile mevzuat uyumu sağlanacaktır.
  • Kişisel verilerin korunmasına ilişkin düzenlemeler teknolojinin getirdiği yenilikler ve uluslararası platformlarda benimsenen yeni yaklaşımlar doğrultusunda güncellenecek, bu alanda teknolojik gelişme teşvik edilecektir.
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu AB’nin Genel Veri Koruma Tüzüğü dikkate alınarak güncellenecektir.
  • TÜSIAD üçüncü e-ticaret raporunu yayınladı.

TÜSİAD, 2014 yılından bu yana e-ticaretin önemini ve potansiyelini ortaya koyan raporlar hazırlamakta ve kamuoyu ile paylaşmaktadır. İlk iki e-ticaret raporunu sırasıyla 2014 ve 2017 yıllarında yayınlayan TÜSİAD, geçtiğimiz günlerde “E-Ticaretin Gelişimi, Sınırların Aşılması ve Yeni Normlar” başlıklı 3. e-ticaret raporunu (“Rapor”) yayınladı. TÜSİAD ve Deloitte Digital ortaklığıyla hazırlanan bu üçüncü Rapor’da, e-ticarete B2C perakende odaklı bakmanın yanı sıra, B2B, e-ihracat, dijital hizmetlerdeki gelişmeler mercek altına alınmıştır. Rapor’da, 2017-2018 dönemindeki küresel ve yerel e-ticaret pazar gelişmeleri; lojistik, ödeme hizmetleri ve regülasyonlar gibi faktörler çerçevesinde ayrı ayrı değerlendirilmektedir. Rapor, sistematik olarak öncelikle Dünya’da e-ticaretin durumunu ardından Türkiye’deki e-ticareti ele almıştır. Regülasyon başlığı altında Türkiye için yapılan değerlendirmeler kapsamında e-ticarete etki eden regülasyon gelişmeleri olarak Güven Damgası sistemi, Elektronik Ticaret Bilgi Platformu (ETBİS) ve TRİP adı verilen “Türkiye’nin İletişim Platformu”na vurgu yapılmaktadır. 6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ise Rapor’da ayrı bir başlık olarak ele alınmış ve KVKK’ne tabi olan paydaşlara ilişkin değerlendirmelerde bulunulmuştur. Rapor’da KVKK başlığı altında:

  • Türkiye’deki işletmelerin ve kamu kurumlarının KVKK’ne uyumunu henüz tam olarak gerçekleştirilmemiş olup; bu işletmelerin ayrıca GDPR’e tabi olmaları durumunda bu işletmelerin GDPR’e uyum sağlamasının da henüz güç olduğu,
  • Ticari elektronik ileti izni ile KVKK gereğince alınması gereken açık rıza ile ilgili olarak piyasada farklı uygulamaların olduğu,
  • KOBİ’ler için KVKK’ye ilişkin bilgilendirme ve bilinçlendirme çalışmaları yapılarak farkındalığın arttırılması gerektiği,
  • Türk Ticaret Kanunu uyarınca B2B kapsamında değerlendirilen şirketlere ilişkin Kurul tarafından detaylı bir rehber veya karar yayımlanması gerektiği,
  • Kişisel Verileri Korum Kurulu tarafından yurtdışı kişisel veri aktarımında güvenli ülke listesinin açıklanmasının beklendiği ve;
  • Yatırımların devam edebilmesi için bulut bilişim konusundaki belirsizliklerin ortadan kaldırılması gerektiği

hususlarına ve önerilerine dikkat çekilmektedir.

Avrupa

  • Avrupa Birliği Veri Koruma Otoritesi, görüntü cihazlarıyla gerçekleştirilen kişisel veri işleme faaliyetleri için taslak bir rehber yayınladı.

Avrupa Birliği Veri Koruma Otoritesi (European Data Protection Supervisor; “EDPS”), görüntüleme cihazları ve güvenlik kamera sistemleri ile gerçekleştirilen kişisel veri işleme faaliyetlerine yönelik sorulara cevap oluşturacak mahiyette bir rehber hazırlayarak 12 Temmuz 2019 tarihinde kamuoyunun görüşüne sundu. Rehberde yer verilen açıklamalara göre, görüntü cihazları aracılığıyla kişisel veri işleme faaliyetinde bulunan veri sorumlularının bu işleme faaliyetlerini ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaat veya hukuki yükümlülüğün yerine getirilmesi gibi hukuki bir temele dayandırılması gerektiği belirtilmiştir. Taslak düzenlemede, ayrıca görüntüleme cihazları ile gerçekleştirilen kişisel veri işleme faaliyetlerinin cihazın kullanım amacı ile bağlantılı, sınırlı ve ölçülü olması ve veri minimizasyonu ilkesine uygunluk taşıması gerektiğine değinilmiştir. Bu kapsamda, üç gün gibi kısa bir saklama süresi de taslak düzenlemede öngörülmüştür. Video kayıt sistemleri ile gerçekleştirilen kişisel veri işleme faaliyetlerinde ilgili kişi haklarının kullanılmasının yanı sıra biyometrik tanıma özelliği içeren video kayıt sistemlerinin kullanılması halinde özel nitelikli kişisel verilerin işlenmesine dair veri sorumlularının açık rıza yükümlülüğü de taslak rehberde değinilen diğer konulardır.

  • İngiltere Veri Koruma Otoritesi çerez kullanımına yönelik rehber yayınladı.

İngiltere Veri Koruma Otoritesi (Information Commissioner Office; “ICO”), internet siteleri tarafından kullanılan çerezlere ilişkin bir rehber çalışmasını kamuoyu ile paylaştı. Rehberde, internet sitelerinin kullandığı çerez türleri, kullanılan çerezlere ilişkin internet sitesi kullanıcılarına sağlanacak olan açıklamalar ve birçok çerez türü için yine kullanıcılardan rıza alınması gerekliliklerine değinilmiştir. Öte yandan, veri güvenliğine ilişkin çerezler, kullanıcı doğrulama çerezleri ve kullanıcı tercihlerine yönelik çerezler gibi birçok çerez kullanımının internet sitesi kullanıcılarından rıza alınması koşulundan istisna tutulduğu da belirtilmiştir. Ayrıca yakın tarihlerde Fransız Veri Koruma Otoritesi (Commission nationale de l’informatique et des libertés; “CNIL”) de internet siteleri tarafından çerez kullanımına dair ICO rehberinde yer alan açıklamalara benzer bir rehber yayınlamıştır. Ancak CNIL tarafından yayınlanan rehberde, ICO tarafından yayınlanan rehberden farklı olarak, internet sitesi içeriğine ilişkin editöryal seçenekleri en uygun şekline getirmek üzere kullanılan çerez türlerine de yer verilmiş ve bazı koşullarda bu tür çerez kullanımının kullanıcıdan rıza alınmasını gerektirmeyeceği belirtilmiştir.

  • İtalya Veri Koruma Otoritesi, Google arama motoru sonuçlarında unutulma hakkının kullanılmasına ilişkin dikkat çeken bir karar verdi.

İtalya Veri Koruma Otoritesi, vermiş olduğu karada, ilgili kişinin kendisine referans veren bir internet sayfasının Google arama sonuç sayfasından çıkarılmasına ilişkin talebini değerlendirmiştir. Karara konu olayda, bahse konu internet sayfasının Google arama motoru üzerinden kişinin adıyla arama yapılması sonucunda değil bir şirketin genel müdürüne ilişkin aramalarda ortaya çıktığı belirtilmiştir. Başvurucu, internet sayfası içeriğinin kendisinin sonradan beraat ettiği bir davaya ilişkin olduğu ve yaklaşık 10 sene öncesine ilişkin bir içeriği ihtiva ettiğini ve eski tarihli bu internet sitesi içeriği dolayısıyla itibarının telafisi mümkün olmayan ağır zararlara maruz kaldığını belirtmiştir. Google ise yapılan başvuruya karşı kişinin ad ve soyadını içermeyecek anahtar kelimelerle yapılan aramaların unutulma hakkı kapsamında değerlendirilemeyeceğini belirterek internet sayfasının arama sonuç sayfasından kaldırılması talebini reddetmiştir. İtalyan Veri Koruma Otoritesi ise söz konusu internet sayfasının şirketin genel müdüründen bahsettiğini ve açıkça başvurucunun yıllarca çalıştığı bir pozisyona işaret ettiği sonucuna vararak internet sayfasındaki içeriğin ilgili kişiyi tanımlanabilir kılması nedeniyle unutulma hakkı kapsamında değerlendirilmesi gerektiğine karar vermiştir. Karar sonucunda, İtalyan Veri Koruma Otoritesi, Google’dan arama sonuçları listesinden içeriğin çıkarılması talimatını vermiştir.

  • Avrupa Birliği Adalet Divanı Facebook “Beğen” butonunun bir internet sitesi tarafından kullanılması halinde müşterek veri sorumlularının söz konusu olacağına karar vermiştir.

Avrupa Birliği Adalet Divanı (“ABAD”), Fashion ID GmbH & Co. KG v Verbraucherzentrale davasında vermiş olduğu karar ile bir internet sitesi tarafından Facebook’un “Beğen” butonunu kullanılması halinde söz konusu internet sitesinin kullanıcılarının kişisel verilerini Facebook’a aktarmış olacağı gerekçesiyle Facebook ile birlikte müşterek veri sorumlusu olduğuna kanaat getirmiştir. ABAD’ın bu kanaate varmasındaki diğer bir gerekçe ise hem Facebook’un “Beğen” butonunu kullanan internet sitesinin hem de Facebook’un internet sitesi kullanıcılarının kişisel verilerinin elde edilmesi ve aktarılmasındaki amaçları ve vasıtaları birlikte belirlediğinin tespit edilmiş olmasıdır. Yapılan değerlendirmede, karara konu internet sitesinin Facebook’a ait “Beğen” butonuna dayanarak kullanıcılarından kişisel veri elde etmeye başladığı anda işleme amaçları hakkında kullanıcılarını bildirmesi gerektiği ve bu şekilde gerçekleştirilen işleme faaliyetinin kullanıcılardan alınmış rızaya veya bir hukuka uygunluk sebebine dayanması gerektiği belirtilmiştir.

  • İngiltere İletişim Ofisi British Broadcasting Corporation tarafından işletilen BBC iPlayer platformuna yeşil ışık yaktı.

Netflix ve Amazon gibi Amerikan şirketlerinin çevrimiçi yayın ağı ortamında artan popüleritesinin karşısında geleneksel televizyon hizmetleri sunmakta olan şirketler farklı arayışlar içerisine girmiştir. Son dönemde bunun önemli bir örneği de British Broadcasting Corporation (“BBC”) tarafından sunulan BBC iPlayer platformu olmuştur. BBC iPlayer platformu, BBC tarafından sunulan programların yayın tarihinden itibaren 30 gün içerisinde çevrimiçi ortamda izlenebilmesine olanak tanımaktaydı. Televizyon ve çevrimiçi ortamlarda gerçekleşen yayınlar arasındaki rekabetin artmasıyla birlikte BBC iPlayer sunduğu hizmetlerin kapsamında değişiklik yapmak istemiş ve 30 günlük yeniden yayın süresini 12 aya kadar çıkarmıştır. Söz konusu değişiklik İngiltere İletişim Ofisi’ne (The Office of Communications; “Ofcom”) taşınmıştır. Ofcom tarafından yapılan değerlendirmede, BBC iPlayer hizmetlerinde yapılan bu değişikliğin zaman içerisinde önemli bir kamu değeri sağlayacağını ve kamuya açık yayın içeriklerinin seçimi ve kullanılabilirliğini arttıracağı böylelikle değişen yayın ve izleme alışkanlıkları karşısında BBC’nin de bir yer edinebileceği ifade edilmiştir.

Dünyadan

  • Kredi raporlama şirketi Equifax veri ihlali sebebiyle yaklaşık 700 milyon dolar tazminat ödeyecektir.

Amerika Birleşik Devletleri’nde (“ABD”) mukim kredi raporlama hizmeti sunan teknoloji şirketi Equifax, 2017 yılında gerçekleşen siber saldırı dolayısıyla yaklaşık 150 milyon müşterisinin kişisel verilerinin sızdırılması sebebiyle bugüne kadar gerçekleşen en büyük veri ihlali ile anılmıştır. ABD Federal Ticaret Komisyonu (Federal Trade Commission; “FTC”) tarafından yapılan açıklamaya göre Equifax yaşanan veri ihlali sebebiyle ABD düzenleyici kurumları ile ortak bir anlaşmaya varmıştır. Soruşturma, iki federal kurumu ve 48 eyalet savcısı tarafından yürütülmüş ve yapılan anlaşma verileri çalınan her bir Amerikan vatandaşı tüketiciyi kapsayacak şekilde ABD nüfusunun neredeyse yarısını içermektedir. Söz konusu anlaşma, veri ihlali neticesinde maddi kayba uğrayanları tazmin etmemekte aynı zamanda banka ve kredi kartı müşteri hizmetleri aramalarına maruz kalmış kişiler de saat başına 25 dolar olmak üzere geçen süreyi Equifax’a fatura edebileceklerdir. 22 Temmuz 2019 tarihinde bir federal yargıç tarafından ön onay alan anlaşmanın kesinleşmesiyle mağdur ve ödenen tazminat bakımından bugüne kadarki en büyük veri ihlali davası olacaktır. Mahkemeye sunulan anlaşma belgelerine göre anlaşılan tutarın yarısı (yaklaşık 300 milyon dolar) veri ihlalinden zarar gören ilgili kişi tüketicilere ödenecektir. Equifax ayrıca düzenleyici kurumlar ve eyalet savcıları tarafından yürütülen soruşturmayı durdurmak üzere de 275 milyon dolar ödemeyi kabul etmiştir. Anlaşma kapsamında ödenecek tutarların yanı sıra Equifax kapsamlı bir bilgi güvenliği programı uygulamak zorunda kalacaktır.

 

<<<
Bilgilendirme - Kurumsal E-postalara İlişkin KVK Kurul Kararı
>>>
Bilgilendirme - Kurum Haberleri (KVKK - Rekabet Kurumu)