Türkiye
- Kişisel Verileri Koruma Kurumu yeni karar özetlerini yayınladı.
Kişisel Verileri Koruma Kurumu (“Kurum”) almış olduğu kararlardan bazılarının özetlerini geçtiğimiz ay boyunca internet sitesinde yayınladı. Ağustos ayı boyunca yayınlanan karar özetlerinin detayları ise şu şekildedir:
- 07.2019 tarih ve 2019/204 sayılı Karar: Karara esas teşkil eden olayda, ilgili kişi şahsına ait cep telefonunun açık rızası olmaksızın bir yatırım ve menkul değerler şirketi tarafından bilgilendirme/reklam amaçlı aranması üzerine veri sorumlusuna yaptığı başvuruya yeterli yanıt alamaması nedeniyle Kişisel Verileri Koruma Kurulu’na (“Kurul”) şikâyette bulunmuştur.
Şikâyete konu olayda veri sorumlusundan edinilen bilgiler uyarınca; veri sorumlusunun bir personeli daha önce aynı alanda faaliyet gösteren başka bir şirkette çalışmıştır ve ilgili kişi bu şirketin müşterisidir. Daha sonra şirketin kapatılması üzerine bahse konu personel veri sorumlusu şirkette çalışmaya başlamıştır. Dolayısıyla şikâyetçinin telefon numarası bilgisine bu şekilde vakıf olunmuş ve sonrasında veri sorumlusunun bir personeli tarafından ilgili kişi reklam ve bilgilendirme amacıyla aranmıştır.
Yukarıdaki bilgiler ışığında, Kurul veri işleme faaliyetinin Kanun’un 5. maddesinde sayılan şartlardan herhangi birine dayanmaması nedeniyle hukuka aykırı bir veri işleme olduğuna kanaat getirmiş ve şirket hakkında idari para cezası uygulanmasına; şikâyetçinin, eskiden müşterisi olduğu personelin şirkete verilerini aktarması konusunda “verileri hukuka aykırı olarak verme veya ele geçirme” hususunu düzenleyen Türk Ceza Kanunu madde 136 hükmü hakkında bilgilendirilmesine; şikâyetçinin bilgi talebine cevap vermeyen şirketin Kanuna uyum konusunda uyarılmasına ve Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendinde aykırı hareket etmesi nedeniyle şirket hakkında 75.000 TL idari para cezası uygulanmasına karar vermiştir.
- 07.2019 tarihli ve 2019/222 sayılı Karar: IOS ve Android işletim sistemleri için video ile iletişim amacıyla Mobile Motion GmbH tarafından geliştirilen Dubsmash Inc.’i temsil eden Lewis Brisbois Bisgaard & Smith LLP’nin Kişisel Verileri Koruma Kurum kayıtlarına 08.04.2019 ve 25.06.2019 tarihlerinde intikal eden yazılarından özetle; Dubsmash’in, gazeteci olduğunu iddia eden bir kişiden gelen e-posta vasıtasıyla veri ihlalinden haberdar olduğu, söz konusu gazetecinin ise karanlık ağda (Darknet) Dubsmash kullanıcılarının kişisel bilgilerine sahip olduğunu iddia eden bir kişi tarafından haberdar edildiği, iddiaları soruşturmak için bir dijital adli tıp firması ile anlaşıldığı ve inceleme başlatıldığı, Dubsmash’ın incelemesi sonucunda, halka açık profilinde ilişkili ülke olarak Türkiye’yi tanımlayan 679.269 kişiye ait bilgilerin satın alınan veri tabanında yer aldığı, kullanıcı sorularına cevap vermek için Dubsmash tarafından bir çağrı merkezi kurulduğu ifade edilmiştir.
Bildirime konu somut olayda, Kurul’un 17/07/2019 tarih ve 2019/222 sayılı Kararı ile Lewis Brisbois Bisgaard & Smith LLP’nin, Dubsmash Inc (ABD)’in yasal temsilcisi olduğuna dair tevsik edici bir belgenin Kurum’a iletilmediği, Hem IOS hem de Android işletim sistemlerinde çalışabilen uygulamanın dünya çapında yaklaşık 162 milyon civarındaki kullanıcı hesabına ait bilgilerinin Darknet’e satıldığı, bu bilgiler arasında kullanıcı verileri dolayısıyla gerçek kişiye ait verilerin olduğu, veri ihlalinden bir gazeteci vasıtasıyla haberdar olmasının Dubsmash’ın teknik ve idari tedbirler bakımından kusurlu olduğunu gösterdiği, Dubsmash’in büyük çaptaki bu veri ihlaline rağmen kullanıcılarını bu konuda bilgilendirmediği hususları dikkate alınarak Dubsmash hakkında toplam 730.000 TL idari para cezası uygulanmasına karar verilmiştir.
- Kişisel Verileri Koruma Kurulu VERBİS’e kayıt süresini uzattı.
Kurul, 03.09.2019 tarihli ve 2019/265 sayılı Kararı ile yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının, Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmeleri için belirlenen son kayıt tarihinin 31.12.2019 tarihine kadar uzatılmış olduğunu 05.09.2019 tarihinde Kurum’un internet sitesinde yayımlayarak duyurmuştur.
- Bankaların veri ihlali bildirimleri art arda gelmeye devam ediyor.
Türk Ekonomi Bankası’nın ardından Denizbank da Kişisel Verileri Koruma Kurulu’na (“Kurul”) ihlal bildiriminde bulundu. Denizbank, 31 Temmuz 2019 tarihinde Kurul’a göndermiş olduğu veri ihlali bildiriminde, Temmuz 2018 – Mayıs 2019 tarihleri arasında bünyesinde bir veri ihlali gerçekleştiğini belirtmiştir. Bildirime konu olayda müşteri işlem ve satış sorumlusu olarak görev yapan banka çalışanının işin gereğinden fazla sorgulama yapıldığının tespit edildiği ve gerekli incelemelerin başlatıldığı, görevi gereği sorgulama ekranına erişim yetkisi bulunan söz konusu çalışanın, bu yetkiyi; bankanın erişim ve bilgi güvenliği politikalarına aykırı şekilde amacı dışında kullandığı, ihlalden Banka müşterisi olan 3.038 kişinin ve Banka müşterisi olmayan 2.851 kişinin etkilendiği bilgilerine yer verilmiştir.
- Kişisel Verileri Koruma Kurumu “Örneklerle Kişisel Verilerin Korunması” isimli rehberini yayınladı.
Rehberde, Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) yer alan kişisel veri, kişisel verilerin işlenmesinde temel ilkeler, kişisel verilerin işlenme şartları, özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi, aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişilerin hakları, veri sorumlusuna başvuru, Kurul’a şikâyet, veri sorumluları siciline kayıt yükümlülüğü ve bunun istisnaları gibi veri sorumluları ve ilgili kişilerin karşısına sıklıkla çıkacak temel konular hakkında örnekler yer almaktadır.
- Radyo Televizyon ve İsteğe Bağlı Yayınların İnternet Ortamından Sunumu Hakkında Yönetmelik Yayımlandı
Radyo ve Televizyon Üst Kurulu (“RTÜK“), 1 Ağustos 2019 tarihinde Radyo, Televizyon ve İsteğe Bağlı Yayınların İnternet Ortamından Sunumu Hakkında Yönetmelik’i (“Yönetmelik“) Resmi Gazete’de yayımlamıştır. Yönetmelik, internet üzerinden yayın hizmetlerinin sunulmasına, iletimine, yayın lisansı ve yayın iletim yetkisi verilmesine ve söz konusu yayınların denetlenmesine ilişkin detaylı düzenlemeler içermektedir.
Yönetmelik uyarınca internet üzerinden hizmet vermek isteyen medya hizmet sağlayıcılarının yayın lisansı alması gerekmektedir. Ancak aynı medya hizmet sağlayıcı kuruluşu yalnızca bir radyo, televizyon veya isteğe bağlı yayın hizmeti sunabilecektir. Bu kapsamda her bir hizmet için ayrı ayrı lisans alınması gerekecek ve RTÜK’ün yayın içeriklerine yönelik denetim ve yaptırım uygulama yetkisi medya hizmet sağlayıcı kuruluşun yayın yaptığı bütün iletim ortamlarını kapsayacaktır. Bununla birlikte televizyon ve radyolardan yayın yapan kuruluşlar, bu yayınlarını internet üzerinden izleyici ve dinleyicilerine sunmak isterse bunun için yayın iletim yetkisi almak zorunda olacaklar.
Ayrıca Türkiye’de bulunmasına rağmen internet üzerinden Türkçe veya Türkçe olmamakla birlikte Türkiye’ye yönelik yayın yapan kuruluşların da yayınlarına devam edebilmeleri için RTÜK’ten yayın lisansı veya yayın ileti yetkisi almaları gerekmektedir. Bahsedilen lisansları alabilmek için de Türk Ticaret Kanunu hükümlerine göre bir anonim şirket kurmalıdırlar.
Yönetmelik’in Geçici Maddesi uyarınca internet ortamından yayın hizmetleri sunan ve herhangi bir geçici yayın hakkı ve/veya yayın lisansı bulunmayan medya hizmet sağlayıcıları ile yayın hizmetlerinin iletimini gerçekleştirilen platform işletmecilerinin 1 Ağustos tarihinden itibaren bir ay içinde yayın lisansı ve yayın iletim yetkisi başvurusunda bulunması gerekmektedir. Bir ay içinde başvuru yapılmaması veya başvuru yapılmasına rağmen başvuruların RTÜK tarafından verilen süre içinde tamamlanmaması halinde sulh ceza hâkiminden içeriğin çıkarılması ve/veya erişimin engellenmesi talep edilebilecektir.
- Medya Kuruluşlarının Ticari İletişim Gelirlerine İlişkin Yönetmelik’te Değişiklik Yapıldı
RTÜK, 1 Ağustos 2019 tarihinde Medya Hizmet Sağlayıcı Kuruluşlarının Elde Ettiği Ticari İletişim Gelirlerinin Denetimi ve Bu Gelirler Üzerinden Alınacak Üst Kurul Paylarının Beyan ve Ödenmesine İlişkin Yönetmelik’te (“Yönetmelik“) birtakım değişiklikler yapmıştır. Değişiklikler uyarınca internet ortamından yayın lisans sahibi medya hizmet sağlayıcı kuruluşların ticari gelirleri Yönetmelik kapsamına dâhil edilmiş, RTÜK’ün ticari gelirlerden aldığı pay oranı güncellenmiştir.
RTÜK’ün medya hizmet sağlayıcı kuruluşların program destekleme gelirleri hariç elde ettiği brüt ticari iletişim gelirleri üzerinden aldığı pay %3’ten %1,5’e indirilmiştir.
Değişiklikler uyarınca RTÜK, yayınlarını sadece internet ortamından sunan yayın lisans sahibi medya hizmet sağlayıcı kuruluşların ticari gelirleri üzerinden pay alabilecektir. Bu kapsamda ilgili medya hizmet sağlayıcılarının ticari iletişim gelirlerini Yönetmelik hükümleri uyarınca beyan etmesi gerekecektir.
Kablo, uydu, karasal ve benzeri ortamlar için geçici yayın hakkı ve/veya yayın lisansı bulunan ve internet ortamından yayın yapan medya kuruluşları ise, yayın hizmetlerini eş zamanlı olarak sunmak ve isteğe bağlı yayınlarını da aynı kataloğa bağlı olarak sunmaları kaydıyla, Yönetmelik hükümlerinden muaf tutulacaktır. Ancak bu kuruluşların, kablo, uydu, karasal ve benzer ortamlarda kendi logosuyla yayınladıkları programları internet ortamında isteğe bağlı yayın hizmeti olarak sunması halinde, Yönetmelik hükümleri uygulanacak olup bu kuruluşların da ticari iletişim gelirlerinin beyan etmesi gerekecektir.
Yönetmelik kapsamında ticari iletişim gelirlerini usulüne uygun olarak beyan etmeyen televizyon kuruluşları için öngörülen idari para cezaları, isteğe bağlı yayın yapan kuruluşlar için de uygulanacaktır.
- Elektronik Kimlik Bilgisini Haiz Eşyaların İthalat ve İhracatına İlişkin Tebliğler Yayımlandı
Ticaret Bakanlığı’nın Elektronik Kimlik Bilgisini Haiz Eşyanın İhracatı Hakkında Tebliği ve Elektronik Kimlik Bilgisini Haiz Eşyanın İthalatı Hakkında Tebliği (“Tebliğler”) 18 Haziran 2019 tarih ve 30805 sayılı Resmi Gazete’de yayımlanmıştır. Tebliğler, elektronik kimlik bilgisini haiz eşyanın ithalat ve ihracatında Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) tarafından elektronik ortamda gerçekleştirilecek kontrollere ilişkin usul ve esasları düzenlemektedir. Tebliğler yayım tarihlerinden itibaren 20 gün içinde yürürlüğe girecektir.
Tebliğler uyarınca elektronik kimlik bilgisini haiz eşyanın ihracatı öncesinde veya bu eşyanın serbest dolaşıma girişi öncesinde Tek Pencere Sistemi üzerinden BTK’ya başvurulması ve BTK’dan uygunluk yazısı alınması gerekmektedir. BTK tarafından verilen uygunluk yazısının düzenlenmesinde cihazlara ait IMEI numaralarının marka ve model bilgileriyle tutarlılığı ile kayıp, çalıntı, IMEI bilgisi değiştirilmiş olma durumu ve Elektronik Kimlik Bilgisini Haiz Cihazların Kayıt Altına Alınmasına Dair Yönetmelik’e uygunluk gibi şartlar aranmaktadır.
Tebliğlerin yürürlüğe girmesi ile birlikte beyan edilen cihazların gümrük beyannamelerinin tescilinde BTK tarafından verilen uygunluk yazıları aranacaktır. Ancak uygunluk yazıları, ürün güvenliği ve denetimine ilişkin düzenlemelerde veya mevzuatta aranan izin ve belgelerin yerine geçmeyecektir.
Avrupa
- Alman Veri Koruma Kurumu GDPR’a uyumluluk için kontrol listesi yayımladı.
Almanya’da bulunan Aşağı Saksonya eyaletindeki Veri Koruma Kurumu, geçtiğimiz aylarda GDPR’a uyumluluk için gereken şartları yerine getirip getirmedikleri konusunda büyük ve orta ölçekli elli kuruluşu denetlemiştir ve denetimlerin sonuncunda bu denetimlerin temelini oluşturan bir kontrol listesi yayımlamıştır. İlgili Kontrol listesi toplamda 10 soru kategorisinden ve yaklaşık 200 adet GDPR uyumluluk kriterinden oluşmaktadır.
Aşağıda yer alan tabloda bu denetimlerin temelini oluşturan 10 soru kategorisine ilişkin özet yer almaktadır.
| Soru Kategorileri | GDPR Temel Uyum Kriterleri |
| GDPR’a Hazırlık | · Şirket GDPR’a nasıl hazırlandı? · Şirketin hangi departmanları GDPR’a hazırlıkta yer aldı? · Şirket çalışanlarına GDPR eğitimi verildi mi? |
| Veri İşleme Faaliyetlerinin Kayıtları (“VİFK”) | ·Şirket, gerekli tüm veri işleme faaliyetleri için VİFK oluşturulmasını nasıl sağladı? · Şirket VİFK’lerin güncel kalmasını nasıl sağlamaktadır? |
| Veri İşleme Faaliyetleri İçin Hukuki Sebepler | · Şirketin veri işleme faaliyetleri için dayandığı hukuki sebepler nelerdir? · Şirket elde edilen açık rızaları belgeleyebiliyor mu? |
| Veri Sahibinin Hakları | · Şirketin, veri sahibinin GDPR kapsamındaki haklarını öne sürebilmesini sağlamak adına ne gibi süreçleri vardır? · Şirketin özellikle veri sahibinin aydınlatma yükümlülüğüne uygun davranıp davranmadığını açıklayınız. |
| Veri Güvenliği | · Şirket, olası risklere karşı gerekli güvenlik seviyesini oluşturabilmek adına hangi teknik ve organizasyonel önlemleri almaktadır? · Şirket gerekli teknik ve organizasyonel önlemlerin en gelişmiş seviyede olduğundan emin midir? · Şirket, mevcut ve ilerideki Bilgi Teknolojisi uygulamaları için yazılı bir yetkilendirme taslağına sahip midir? · Şirket mal veya hizmetlerin yaratılması veya değiştirilmesi sürecinde kasten ve varsayılan gizlilik kavramlarının uygulanmasını nasıl sağlamaktadır? |
| Veri Koruma Etki Analizi (“VKEA”) | · Şirket kişisel veri işleme faaliyetinin VKEA’yı gerektirdiğini nasıl anlamaktadır? · Şirket hangi kişisel veri işleme faaliyetleri için VKEA gerekliliği ? |
| Kişisel Veri İşleme Anlaşmaları | · Şirket veri işleyenler ile yapmış olduğu mevcut anlaşmalarını güncelledi mi? · Şirketin taslak kişisel veri işleme anlaşması GDPR ile uyumlu mu? |
| Veri Koruma Görevlisi (“VKG”) | · VKG şirkete nasıl entegre edilmiştir? · Şirket, VKG’nin yeterli kişisel veri koruma bilgisine sahip olduğunu belgelemiş midir? · VKG denetleme makamına bildirildi mi? |
| Veri İhlali Bildirimleri | · Şirket, veri ihlallerinin yasal süre içerisinde bildirildiğinden emin olmak adına nasıl bir süreç izlemektedir? |
| Sorumluluk | · Şirket yukarıda listelenen kategorilere uyumlu olduğunu nasıl kanıtlamaktadır? |
- Alman ve Belçika Veri Koruma Kurumları Mastercard’in Veri İhlali Konusunda İşbirliği Yapıyor.
Mastercard’ın “Priceless” ismindeki restoran indirimleri, workshoplar ve turlar satın alınabilen programından; kişilerin isim soy isimleri, kart numaraları, e-mail adresleri, ev adresleri, telefon numaraları, cinsiyetleri ve doğum tarihleri gibi verilerin internete sızması üzerine Mastercard hem şirket merkezi Belçika’da bulunduğundan Belçika Veri Koruma Kurumu’na, hem de etkilenen kişilerin mukim oldukları yer Almanya’nın Hessian eyaleti olduğundan Alman Veri Koruma Kurumu’na veri ihlali bildiriminde bulunmuş, bunun üzerine Belçika ve Almanya Veri Koruma Kurumları işbirliği yapmıştır.
Belçika Veri Koruma Kurumu başkanı David Stevens “Bu olayın tarafımıza bildirilmesinden bu yana bu konuyla ilgili çok fazla soru ve şikâyet aldık. Daha fazla bilgi almak adına Mastercard ile iletişime geçtik ve bu olayı “One-Stop-Shop” ilkesi uyarınca Hessian Veri Koruma Kurulu ve diğer ilgili tüm veri koruma kurumlarıyla birlikte yürütmeye karar verdik” demiştir.
GDPR ile birlikte gelen belki de en güzel mekanizmalardan biri olan “One-Stop-Shop” prensibi yani sınır ötesi işbirliği mekanizması, kişisel verilerin işlenmesi süreci Avrupa Birliği’nin çeşitli ülkelerindeki vatandaşları aynı anda etkiliyorsa ya da verileri işleyen kuruluş birden fazla Avrupa Birliği üye devletinde kurulu ise uygulanabilmektedir.
Dünya
- Dijital markaların sermayeye erişimlerini kolaylaştıran fintech girişimi Bond, 10 milyon dolar tohum yatırım almayı başardı.
San Francisco merkezli fintech girişimi Bond Financial Technologies, Canaan Partners liderliğinde gerçekleşen tohum yatırım turunda 10 milyon dolar fon elde etti.
Makine öğrenmesi teknolojisini kullanan Bond Financial Technologies, dijital markaların sermayeye erişimlerini kolaylaştıracak hizmetler üretmektedir. Bankacılık kurumları ile ortaklaşa çalışan fintech girişimi, kişiselleştirilmiş finans çözümleri oluşturmaktadır. Kurumlar arasındaki dijital iletişim sorunlarını ortadan kaldıracak projeler geliştiren Bond, sürdürülebilir bir model oluşturma amacında.
Bankalarla yaptığı ortaklıkların sayısını artırmak isteyen Bond yetkilileri, elde ettikleri tohum yatırım ile bu hedeflerine ulaşacaklarını bildirdiler.
Ekip üyeleri arasında BlackRock, Goldman Sachs, SAP, SoFi ve Twilio gibi firmalarda görev yapmış isimlerin olduğu fintech girişimi, finans ekosisteminde karşılaşılan sorunları bizzat deneyimlemiş kişilerden oluşmasıyla öne çıkmaktadır.
- Dünyanın Bilgi Gizliliği Hakkındaki İlk Uluslararası Standartları Yayımlandı.
Daha önce ISO tarafından yayımlanan ISO/IEC 27001 standardı bilgi güvenliği yönetim sistemi gereksinimlerini tanımlayan ilk ve tek denetlenebilir standarttı. Bu standart, bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) (Information Security Management System -ISMS) kurmak, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. Yani aslında muhafaza edilen bilginin güvenilirliğini, gizliliğini ve geçerliliğini garantilemede koruma ve kontrol sağlamaktadır.
6 Ağustos 2019 tarihinde yayımlanan ISO/IEC 27701 standardı ise, daha önce yayımlanmış olan ISO/IEC 27001 ve ISO/IEC 27002 standartlarının genişletilmiş halidir.
Başlangıçta ISO/IEC 27552 olarak geliştirilen ISO/IEC 27701, bir bilgi güvenliği yönetim sistemi oluşturmak ve oluşturulan bu sistemin sürdürülmesi için rehberlik etmektedir.
ISO/IEC 27701 ile uyumlu olmak için şirketlerin önce ISO/IEC 27001 standardına uyumlu olmaları gerekmektedir. Ancak ISO/IEC 27001 genel güvenlik tedbirleri için bir standardizasyon sağlarken, ISO/IEC 27701 kişisel verilerin korunmasına yönelik rehberliğinin yanı sıra GDPR ile gelen yeni düzenlemelerin uygulanmasına da odaklanır.
