Kişisel Verilerin Korunması Hukuku Bülteni-12.06.2020-1. Sayı

Giriş: İki haftada bir yayınlayacağımız Kişisel Verilerin Korunması Bülteni’mizde güncel Kişisel Verilerim Korunması Kurulu kararlarını, AB Veri mevzuatına ilişkin özellikle GDPR’a yönelik AB üye ülkelerinin veri koruma otoritelerinin kararlarına ve AİHM kararlarına, Türkiye ve Dünya'dan veri korumaya yönelik en güncel haberlere ve kılavuzlara, önemli gördüğümüz eğitim-webinar önerilerine ulaşabilirsiniz.

KİŞİSEL VERİLERİ KORUMA KURULU KARARLARI

  • 4 Mayıs’ta yayınlanan 27/02/2020 Tarihli ve 2020/167 Sayılı Karar’ında Kurul, spor salonu hizmeti sunan veri sorumlusu şirketin, üyelerinin giriş-çıkış kontrolünü sağlamada el okutma sistemine geçmesini Kanun’a aykırı buldu. Daha önce de spor salonlarıyla ilgili benzer bir karar vermiş olan Kurul, bu kararda da 6698 sayılı kanunda özel nitelikli kişisel veri kategorisinde biyometrik veri tanımının yer almamasına rağmen GDPR’ın Recital bölümünün 51.maddesine atıf yaparak biyometrik veri tanımını yapmış, daha sonra ise Danıştay 15. Dairesinin 2014/4562 Esas sayılı kararını hatırlatarak biyometrik yöntemlerin neler olduğunu açıklamıştır. Bu bilgiler ışığında söz konusu olayda ise veri sorumlusu şirketin avuç içi tarama sisteminin bir biyometrik veri olmayacağı iddiasını reddederek söz konusu uygulamanın ölçülülük ilkesine aykırı olduğuna karar vererek, veri sorumlusu hakkında 225.000 TL idari para cezasına hükmetmiştir.
  • 7 Mayıs’ta yayınlanan 27/02/2020 Tarihli ve 2020/173 Sayılı Karar’da, Kurul, e-ticaretin önde gelen ismi Amazon’un Türkiye temsilciliğini iki farklı ihlalden dolayı toplamda 1.2 milyon TL idari para cezası ödemesine hükmetti. Kararda, e-ticaret şirketlerine yönelik önemli hususlar yer almakla birlikte, ihlal konularına bakıldığında Kurul,

    Veri sorumlusu şirketin usulüne uygun açık rıza almadığı ve verileri Kanun’a aykırı olarak yurtdışına aktardığı gerekçesiyle madde 12’de yer alan yükümlülükleri kapsamında kişisel verilerin hukuka aykırı işlenmesini önleyememesinden 1.100.000 TL’ye;

    Web sitesinde yayımlanan “Gizlilik Bildirimi”nin, birçok bilgi içermesi, veri işlemeye ilişkin genel bir bilgilendirme olması nedeniyle kişisel verilerin işlenmesine ilişkin ilgili kişilere aydınlatma yapıldığı anlamına gelmediği göz önünde bulundurulduğunda ihbar edilen web sitesine girişle birlikte çerezler vasıtasıyla kişisel verilerin işlenmeye başlamasına karşın, çerezler, üyelik girişi gibi veri işlemenin başladığı hiçbir aşamada aydınlatma yükümlülüğünün Kanun uyarınca yerine getirilmemesi nedeniyle de 100.000 TL idari para cezasına hükmetmiştir.

  • 13 Mayıs’ta yayınlanan 12.03.2020 tarih ve 2020/213 sayılı Karar’da bir internet servis sağlayıcı olan veri sorumlusu şirket müşterilerinin kullanımına sunulan Online İşlem Merkezi’nde çıkan bir sorun üzerine 69 kişiye ait kart bilgisinin 649 adet Şirket müşterisi tarafından görüntülendiği tespit edilerek Kurum’a bildirim yapılmış ve bildirim neticesinde Kurul, Kanun’un 12 nci maddesinin (1) numaralı fıkrası çerçevesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan Şirket hakkında 300.000 TL idari para cezasına hükmetmiştir.


KİŞİSEL VERİ KORUMASINA İLİŞKİN AB’DEN KARARLAR

  • Danimarka veri koruma otoritesi ('Datatilsynet'), 25 Mayıs 2020 tarihli kararında, Carlsberg şirketinin özellikle işe alım ile ilgili kişisel verilerin işlenmesine yönelik yaptığı denetimde söz konusu şirketin istihdam için işe alımla bağlantılı olarak toplanan çalışan adaylarının kişisel verilerinin saklanması ve silinmesi prosedürünün GDPR ile uyumlu olduğu sonucuna vardı. Bu noktada şirketin gelecekteki iş fırsatları için çalışan adaylarının verisini tutma konusunda bir meşru menfaati olduğuna, ilgili kişilerin açık rızası temelinde verilerin saklandığına, iş başvurusunda bulunanların işe alım web sitesinden kendi başvuru bilgilerini silme fırsatına sahip olduklarına ve çalışan adaylarının kendi başvuru profillerini kendilerinin silmemesi durumunda altı ay sonra otomatik olarak silindiğine dikkat çekti.
  • Finlandiya Veri Koruma Otoritesi, faturalarda müşterilerin adına ek olarak kimlik numaralarının da basılmasını orantısız buldu. Kişisel kimlik numarası yerine illa bir numara kullanılacaksa müşterileri tanımlamak için farklı müşteri veya referans numaraları kullanılabileceğine işaret etti.
  • Hollanda Veri Koruma Otoritesi (Autoriteit Persoonsgegevens), veri sorumluları işyerlerine yönelik COVID-19 nedeniyle alınacak tedbirler kapsamında ateş ölçümü yapılıp yapılamayacağına ilişkin bir duyuru yayınladı. Söz konusu duyuruda ateş ölçümünün aslında tıbbi veriler kapsamında değerlendirildiğini dolayısıyla GDPR korumasında olduğunu ifade eden kurum, eğer sadece söz konusu işyerlerine girişte ilgili kişilerin ateşlerinin ölçülüp bu verilerin herhangi bir işleme tabi tutulmamas ve otomatik sistemin bir parçası olarak saklanmaması halinde GDPR kapsamında değerlendirilmeyeceğini ifade etti. Böylelikle tedbir kapsamında örtülü şekilde ateş ölçümüne onay vermiş oldu.
  • Hollanda Veri Koruma Otoritesi (Autoriteit Persoonsgegevens), çalışanlarının mesai takip amacıyla parmak izlerini yasa dışı bir şekilde işleyen bir şirket için 725.000 Euro para cezası verdi. GDPR kapsamında, gerçek bir kişiyi tanımlamak amacıyla işlenen biyometrik verilerin özel kişisel veri kategorisi altında olduğunu hatırlatarak biyometrik verilerin işlenmesinin iki istisnası olduğunu belirtti; açık rıza ve işlemenin kimlik doğrulama veya güvenlik amacıyla gerekli olması (Bu iki istisnadan ikincisi, Hollanda Yasası’nda öngörülen bir istisnadır). Söz konusu olayda işverenin çalışanların açık rızasını kanıtlayamadığı gerekçesiyle birinci istisnanın gerçekleşmediğini; ikinci istisnayı sağlamak için ise söz konusu yöntemin gerekli ve orantılı olmadığı sonucuna vararak yasadışı şekilde parmak izi toplamadığına karar verdi. Şirket ise karara itiraz edeceğini duyurdu.
  • Romen Veri Koruma Otoritesi, Romanya Ticaret Bankası’nı veri koruma konusunda GDPR kapsamında gerekli idari ve teknik tedbirleri almamasından dolayı 24,163.50 Romen Leyi (yaklaşık 5000 Euro) para cezasına çarptırdı. Söz konusu olayda banka çalışanı, müşterilerin kimlik fotoğraflarını kendi telefonunda arşivleyerek Banka sistemine Whatsapp yoluyla aktarıyordu. Otorite bunun veri işleme riski ışığında dahili çalışma prosedürünün ihlali saydı.
  • P.T. v. Moldova Cumhuriyeti (AİHM; 26.05.2020; Başvuru no. 1122/12)

Dava, başvurucunun HIV pozitif olmasının bir belgede aleni şekilde yer almasına ilişkindir. Başvurucu, söz konusu belgeyi askerlikten muafiyetin yanı sıra ehliyet alma kimlik yenileme gibi birçok durumda göstermek zorunda olmasından dolayı şikayetçi olmuştur. Mahkeme, Hükümet’in, başvurucunun hastalığının bu şekilde açığa vurulmasının Sözleşme’nin 8. maddesindeki hangi meşru amaca hizmet ettiğini ifade etmediğini tespit etmiştir. Söz konusu sağlık sorunuyla birebir ilgisi bulunmayan birçok halde böylesine hassas bir kişisel veri içeren belgenin gösterilmesinin istenmesinin orantısız bir müdahale olduğunu ifade etmiştir. 8.maddenin ihlal edildiğine karar vererek 41000 Euro manevi tazminata hükmetmiştir.

HABERLER

  • İleti Yönetim Sistemi (İYS) süreleri 3 ay ertelendi. 23 Mayıs’ta Ticaret Bakanlığı sitesinden yapılan açıklamada “Birçok ülkede olduğu gibi ülkemizde de yeni tip Koronavirüs (Covid19) salgını günlük hayatı olumsuz etkilemiş ve iş süreçlerinde önemli aksamalar yaşanmasına neden olmuştur. Bu yüzden farklı sektörlerde bulunan şirketlerden ve sivil toplum kuruluşlarından İYS’ye ilişkin tarihlerin ertelenmesi talepleri Bakanlığımıza iletilmiştir. Bu talepleri de dikkate alarak işletmelerimizi mağdur etmemek için 31 Mayıs 2020 son tarihli olan hizmet sağlayıcıların İYS’ye onay yükleme tarihini 31 Ağustos 2020 tarihine erteledik.” ifadelerine yer verildi.
  • İstanbul Barosu tarafından ÖSYM tarafından gerçekleştirilen “sınavlarda parmak izi, göz retinası gibi kişisel verilerin yasa olmaksızın alınması ve işlenmesi” uygulamasının iptal edilmesi için başlatılan yasal süreç sonucu uygulama iptal edildi.
  • Google’a gizlilik ihlali suçlamasıyla Arizona Başsavcı tarafından dava açıldı. Google, Android cihaz kullanıcılarının konumunu kullanıcılardan habersiz bir şekilde takip etmekle suçlanıp bu konum verileriyle elde ettiği gelirleri geri ödemesi isteniyor.
  • 25 Mayıs 2018’de yürürlüğe giren GDPR (Genel Veri Koruma Yönetmeliği) 2 yaşında. 2 yıldır GDPR ile gelinen noktaya ilişkin Privacy International tarafından bir değerlendirme yazısı yayınlandı.
  • AB, sınırlarını korumak için büyük ölçekli biyometrik veritabanı için sözleşme imzaladı. 400 Milyon kişiye ait biyometrik verilerle, dünyadaki en büyük biyometrik veritabanı olma yolunda ilerliyor.
  • Fransız Danıştay’ı COVID-19 kapsamında kurallara uyulup uyulmadığını kontrol etmek amacıyla drone kullanılması uygulamasını askıya aldı. Söz konusu kararda bunun bir kişisel veri işleme olduğu ancak hukuki çerçevesinin belli olmadığı ifade edildi.

  • Alman Federal Mahkemesi'nin (BGH) çerezlerin Almanya'da onay gerektirip gerektirmediği konusunda uzun zamandır beklenen kararı çıktı: Mahkeme rıza alma yükümlülüğünü teyit ederek ve böylece web sitesi operatörlerinin uç cihazlarında çerezler depolanmadan veya okunmadan önce kullanıcılardan izinlerinin alınması gerektiğine hükmetti.

OKUMA ÖNERİLERİ

  • EDPS tarafından yayınlanan “Guidelines 05/2020 on consent under Regulation 2016/679 (4 Mayıs’ta Avrupa Veri Koruma Kurulu’nun “rıza” hakkındaki güncel kılavuzunu) okumak için buraya tıklayınız.
  • Kişisel Verilerin Korunması Kurumu tarafından çıkartılan “Doğru Bilinen Yanlışlar” Kitapçığını okumak için buraya tıklayınız.
  • ICRC(Uluslararası Kızılhaç Örgütü) tarafından düzenlenen “Handbook on Data Protection in Humanitarian Action”(İnsani Yardımda Veri Koruma Kılavuzu) kılavuzu okumak için buraya tıklayınız.

 

WEBINAR-EĞİTİM ÖNERİLERİ VE ETKİNLİKLER

 

  • 17.06.2020 tarihinde Saat:10:00-15:00 arasında gerçekleşecek olan “Privacy Connect Online Istanbul” isimli etkinliğe kayıt olmak için tıklayınız.

 

  • Jennifer Zhu Scott tarafından yapılan “Why You Should Get Paid For Your Data” isimli TED konuşmasını dinlemek için buraya tıklayınız.

 

  • Türkiye Barolar Birliği Tv tarafından yayınlanan;

-          “İleti Yönetim Sistemi” isimli online eğitimi izlemek için buraya tıklayınız.

-          “Hukuk Alanında Yapay Zeka Uygulamaları” isimli online eğitimi izlemek için buraya tıklayınız.

-          “Bilişim Hukukunda Siber Suçlar ve Adli Bilişim” isimli online eğitimi izlemek için buraya tıklayınız.

-          “GDPR Uygulama Alanı ve KVKK Geleceği” isimli online eğitimi izlemek için buraya tıklayınız.

 

  • Ankara Barosu tarafından gerçekleştirilen;

-          “Fidye Virüs Örneğinden Bilişim Suçlarına Bakış: CryptoLocker Fidye Virüsü” isimli online etkinliği izlemek için buraya tıklayınız.

-          “KVK Kanunu ve Güncel Konular” isimli online etkinliği için buraya tıklayınız.

 

  • İstanbul Barosu tarafından gerçekleştirilen;

-          “Teknoloji ve Hukukta Yeni Trendler” isimli online etkinliği izlemek için buraya tıklayınız.

-          “Yapay Zeka Çağında Hukuk” isimli online etkinliği izlemek için buraya tıklayınız.

                                                                                                                                                         ...

İletişim

Nasuh Akar Mahallesi 1404. Sokak No: 18/31 Trio Suit, Çankaya/ ANKARA

Takip Et

Duyurulardan haberdar olmak için lütfen e-posta adresinizi girin ve abone olun.