Kişisel Verileri Koruma Kurumu (KVKK) arama motorlarında kişilerin ad ve soyadlarıyla aranması sonrasında çıkan sonuçların indekslenmeyecek şekilde teknik düzenleme yapılmasıyla ilgili kararını duyurdu. Kurum’un kararına göre, arama sonuçlarından isim ve soyadının çıkartılmasını isteyen vatandaşlar önce arama motorunun sahibi olan şirkete başvuruda bulunacak. Bireyin talebinin cevapsız kalması veya olumsuz olması durumunda KVKK’ya şikayette bulunabileceği belirtildi. Karara göre vatandaşlar kuruma başvuruyla beraber aynı zamanda doğrudan yargı yoluna da başvurulacak.
Kamuoyunda ‘unutulma hakkı’ olarak bilinen hak, AB ülkeleri ile Google arasında süren bir hukuki süreç sonucunda AB vatandaşlarına verilmişti. Google’da bireye ‘unutulma hakkı’ verilmesi geçmişte yaşanan olayların objektif olarak yazılmasının önüne geçeceği için bazı tarihçiler tarafından sakıncalı bulunuyor.
Kararda arama motoru sonuçlarından çıkmak isteyen vatandaşların taleplerinin değerlendirilmesinde kamu yararı ile temel hak ve özgürlükler arasındaki dengenin gözetileceğinin altı çizildi.
“İlgili kişinin arama motorları üzerinden kendi adı ve soyadı ile yapacağı bir arama sonucunda gösterilen sonuçların indeksten çıkarılmasına yönelik yapılacak değerlendirmede, ilgili kişinin temel hak ve özgürlükleri ile kamunun söz konusu bilgiyi edinmesinden sağlayacağı menfaatler arasında bir denge testi yapılmasına, yarışan menfaatlerden hangisinin ağır bastığının gözetilmesine ve bu değerlendirme yapılırken öncelikli olarak aşağıda belirtilen linkte yer verilen açıklamaların dikkate alınmasına ancak bu konudaki şikâyetlerin değerlendirme sürecinde dikkate alınacak kriterlerin bunlarla sınırlı olmayacağına, her somut olay özelinde Kurulca ilave ölçütlerin de gündeme gelebileceğine…”
“İDARİ BİR KURUM YARGI YETKİSİ VEREMEZ”
Kurum’un verdiği karara hukukçular arasında eleştiri geldi. Önde gelen bilişim hukukçusu Gökhan Ahi Twitter’da yaptığı yorumda KVKK’nın idari bir kurum olduğuna işaret ederek mahkemenin yetki alanına girdiğini savundu:
“Kurum, bir taraftan iyi bir rehber hazırlarken (geliştirilebilir), diğer tarafta mahkemelerin görev alanına girmeye çalışıyor. Haklar yarışırsa ne olacak, özgürlükler çatışırsa nasıl çözülecek sorularına cevabı, idari bir kurum veremez, yargı yetkisini kullanan mahkemeler verir.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kişisel Verileri Koruma Kurumu veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunluluğu bulunan kişisel verileri işleyen gerçek ve tüzel kişilerin sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen süreyi bir kez daha uzattı.
KVKK web sitesinde yayınlanan duyuruya göre, sektör temsilcilerinden gelen koronavirüs sürecine ilişkin talepler değerlendirilerek böyle bir karar alındığı belirtildi.
Kararda “Tüm dünyada olduğu gibi ülkemizde de etkisini gösteren Covid-19 virüs salgını nedeniyle bazı işyerlerinin fiziksel olarak kapalı olduğu veya uzaktan / dönüşümlü çalışma modeli uygulandığı, bu nedenle veri sorumlularınca kişisel veri işleme envanteri hazırlama çalışmalarının yapılamadığı ve Veri Sorumluları Siciline (Sicil) kayıt yükümlülüğünün süresinde yerine getirilemediği” gerekçe gösterilerek,
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine,
Yıllık çalışan sayısı 50’den az ve yıllık mali bilançosu 25 milyon TL’ den az olup ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine,
Kamu kurum ve kuruluşu veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.03.2021 tarihine kadar uzatıldı.
Geçtiğimiz yılın Aralık ayında KVKK yayınladığı 2019/387 sayılı kurul kararı özeti ile veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorunluluğu bulunan kişisel verileri işleyen gerçek ve tüzel kişilerin sicile kayıt ve bildirim yükümlülüğünü yerine getirmeleri için verilen süreyi bir kez daha uzatmıştı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kişisel Verileri Koruma Kurulu 2 Nisan Perşembe günü yeni yayınladığı karar özetlerini kamuoyu ile paylaştı. 11 karar özeti içerisinde tüketicilere rızası dışında SMS göndermeden, veri sorumlusunun kişisel verileri reklam amaçlı sosyal medyada paylaşmasına kadar bir çok şikayet karara bağlandı.
Kurulun kararlarını inceleyerek her birinden sizler için kişisel verilerinizi daha sıkı bir şekilde koruma altına almanızı sağlayacak kuralları derledik.
1. Çalıştığım şirketin sahibi Whatsapp yazışmalarımı izinsiz şekilde elde ederse ne yapacağım?
Kurulun yayınladığı ilk karar özeti Whatsapp yazışmaları patronu tarafından okunan bir çalışana ait. Buna göre, bir şirket sahibi şirketindeki çalışanlardan birinin üye olduğu bir Whatsapp grubundaki yazışmalarını işyerindeki bilgisayarından okumuş, fotoğraflarını çekmiş ve ekran görüntülerini almış. Çalışan durumu kişisel verilerin korunması kapsamında değerlendirerek kurula şikayette bulunmuş. Fakat Kurulun 16 Mayıs 2019’da verdiği karara göre, bu şikayetin Türk Ceza Kanunun ilgili hükümleri kapsamında değerlendirilmesi gerekiyor.
2. Bir pazar yeri web sitesinin ana sayfasına geçiş için kişisel verilerimi istemesi KVKK ihlali midir?
Kurulun yayınladığı bir diğer karar özetinde, bir internet kullanıcısı bir web sitesine giriş yapmak istiyor ancak web sitesinin ana sayfasına geçiş için e-posta adresi girilmesi isteniyor. Kullanıcı da bu durumun Kişisel Verileri Koruma Kanuna aykırı olduğunu değerlendirerek durumu şikayet ediyor.
Kurul geçtiğimiz yıl temmuz ayında verdiği karardan incelemeye konu web sitesinin bir pazar yeri sitesi olduğu anlaşılıyor. Diğer bir deyişle, site bünyesinde kullanıcılara sunulan çeşitli alanlardaki mal ve hizmetlerin doğrudan tedarikçisi/sağlayıcısı değil. Farklı illerde, farklı sektörlerde ve farklı hizmet sağlayıcıları tarafından sunulan çeşitli hizmetleri indirimli fiyatlar üzerinden üyeler tarafından satın alınmasını sağlayan bir aracı firma görevini üstleniyor.
Bu yüzden Kurul sitenin “bir ürün veya hizmetin sunulmasının ya da ürün veya hizmetten yararlandırılmasının açık rıza şartına dayandırılmasından ziyade Site bünyesinde sunulan indirimli fiyatların ve avantajların yalnızca üye olanlara sunulmasının söz konusu olduğu” için şikayetin Kişisel Verileri Koruma Kanunu kapsamında olmadığını değerlendirmiştir.
3. Vefat eden kişinin eşi ölünün kişisel verilerini talep edebilir mi?
Kurulun 18 Eylül günü verdiği karar ölmüş bir kişinin tedavi gördüğü sağlık kuruluşundaki medikal verileri ile ilgili. Karara göre bir kişi vefat eden eşinin tedavi gördüğü klinikten tüm medikal ve diğer bilgilerini talep ediyor. Fakat klinik kişinin bu talebini cevapsız bırakyor.
Kurul talep edilen kişisel verilerin talep eden gerçek kişiye ilişkin olmaması ve ölmüş kişiye ait olması sebebiyle talebin, Kanunun 11. maddesi kapsamında bir talep olarak değerlendirilmeyeceğine karar verdi.
4. Kanun çıkmadan önce verdiğiniz SMS gönderme izni hala geçerli olabilir
Kurula gelen bir şikayette, ilgili kişinin numarasına reklam içerikli SMS gönderildiği ve bundan rahatsızlık duyduğunu belirterek veri sorumlusuna başvurduğu, başvurunun yazılı olarak cevap verildiği fakat bu cevabı ilgili kişinin yetersiz bulduğu belirtiliyor.
Kurul verdiği kararda, şikayette bulunan kişinin 2012’de firmayı arayarak motosikleti için İngilizce kullanım kılavuzu talep ettiği ve bu talebiyle beraber şahsıyla e-posta, SMS ve telefon ile iletişime geçilmesine izin verdiğine dikkat çekildi. Ayrıca müşterinin 2013 yılında motosikleti için firmadan yedek parça ve servis hizmeti satın alması da dosyaya bilgi olarak eklendi. Kararda “bahsi geçen satın alma işleminin Kanunun yürürlüğe girmesinden önce gerçekleştiği anlaşıldığından şikayete ilişkin 6698 sayılı Kanun kapsamında yapılacak herhangi bir işlem bulunmadığına karar verilmiştir.” ifadesi yer aldı.
5. İsim ve soyad benzerliğinden dolayı bana ait olmayan bir fatura e-posta ile bana geldi ne yapmalıyım?
E-posta kutunuzu açtınız ve size ait olmayan bir faturanın şahsınıza gönderildiğini fark ettiniz. Fakat o da ne? İsim ve soyad sizinkine çok benzer. Hemen hizmet aldığınız veri sorumlusu olan telekomünikasyon şirketine durumu bildirdiniz ancak bir cevap alamadınız.
Böyle bir durumla karşılaşan bir kullanıcının şikayeti üzerine, Kurul verdiği kararda aynı e-posta adresinin farklı kişiler tarafından alınmasının teknik olarak mümkün olmadığı ve bir yazım yanlışı yapıldığı ihtimali üzerinde durarak “bir müşterinin abonelik kaydı oluşturulurken sistemde kayıtlı bulunan bir e-posta adresi yazıldığında bu e-postanın hali hazırda kayıtlı bir müşteri için var olduğu uyarısının kayıt yapılan sistem tarafından verilmemesi dolayısıyla veri sorumlusunun veri güvenliğine ilişkin gerekli teknik tedbirleri almadığı … kanaatine varıldığı” için veri sorumlusuna 50 bin TL ceza kesmiştir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Kişisel Verileri Koruma Kurumu 9 Mart Pazartesi tarihli açıklamasında Türkiye’de faaliyet gösteren üç şirketin siber saldırı ve veri ihlali sonucunda elindeki kişisel verilerin yetkisiz kişilerin eline geçmiş olduğu açıkladı.
Açıklamada Doğa Sigorta AŞ, Türk Ekonomi Bankası AŞ ve Gratis İç ve Dış Tic. AŞ’nin mağdur olduğu veri ihlallerinde 12 bine yakın kişi etkilendi.
DOĞA SİGORTA
Bildirim tarihi: 06.03.2020
Vaka: Şirketin web sayfasına ait test sunucusunun hacklenmesi
Etkilenen veriler: Kimlik, iletişim, araç plakası, araç ruhsat, elektronik posta ve finans
İhlalden etkilenen tahmini kişi sayısı: 300
TEB
Tespit tarihi: 02.03.2020
Vaka: Banka çalışanlarının kendilerine tanımlanan Kredi Kayıt Bürosu skoru olarak da bilinen Türkiye Bankalar Birliği Risk Merkezi Raporu sorgulama sonuç bilgilerini şahsi telefonları aracılığıyla üçüncü kişilerle paylaşması
Etkilenen veriler: Kişilerin kredibiliteleri hakkındaki bilgiler (Kredi Verilebilir, Kredi Verilemez)
İhlalden etkilenen tahmini kişi sayısı: Banka müşterisi olmayan 2.317 kişinin, Banka müşterisi olan 6.917
GRATİS
Tespit tarihi: 06.03.2020
Vaka: Şirket e-posta adresine kimliği belirsiz bir şahıstan Şirket web sitesi üyelerinin e-posta adresinin/şifrelerinin ele geçirildiğine dair bir elektronik posta gelmesi; şirket dışı kaynaklardan elde edilen e-posta adresleri/şifreler ile şirkete ait Gratis.com sitesine birden fazla IP’den giriş denemeleri yapıldığı, her başarısız denemeden sonra bir başka elektronik e-posta/şifre denemesi yapıldığı, bu yolla 2092 site kullanıcısının site hesaplarının şifrelerini doğruladıklarının ortaya çıkması
Etkilenen veriler: Kimlik, iletişim ve müşteri işlem verileri
Kredi Yurtlar Kurumu’na bağlı yurtlarda internet erişimi problemi bir süredir çeşitli mecralarda gündeme geliyordu. Bazı sitelerin ve mesajlaşma uygulamalarının engellenmesi öğrencilerin tepkisini çekerken, KPSS gibi sınavlara online eğitimler üzerinden hazırlanan adaylar da çalışmalarına devam edemediklerinden şikayet ediyor.
Geçtiğimiz günlerde Karar gazetesinden yayınlanan habere göre ise, öğrenciler sadece internet erişimi değil aynı zamanda mahremiyet problemi ile de karşı karşıya.
Gençlik ve Spor Bakanlığı’na bağlı Kredi ve Yurtlar Kurumu’nda kalan öğrencilerin internet trafiğini izlemek için bir ‘takip’ programının indirilmesinin istenmesi şüphelere neden olduğunun belirtildiği haberde, Gençlik ve Spor Bakanlığı’nın WhatsApp görüşmeleri de dahil öğrencilerin tüm internet trafiğini izlemek istediği ileri sürüldü.
İddiaya göre, bakanlığa bağlı yurtlarda kablosuz internet erişimi sağlayan GSBWIFI ağına bağlı öğrencilerden bilgisayarlarının sertifika güven zincirine GSB’ye ait bir sertifika yüklemeleri isteniyor.
İnternet trafiğinin izlenme girişimi olarak yorumlanan hamle, KYK’nın duyurusunda WhatsApp, Spotify gibi servislere erişmek isteyen kullanıcılara bir çözüm önerisi olarak sunuluyor. Ancak uygulama ‘öğrencileri gözetleme’ idddiasını da beraberinde getirdi.
Uzmanlara göre bu şekilde GSBWIFI ağına bağlanan kullanıcılar, WhatsApp, Spotify gibi servislerle kuracakları bağlantılarda, anayasada garanti altına alınan haberleşme hürriyetini de ihlal eder biçimde izlenip ve kayıt altına alınabilir.
Öğrencileri tedirgin eden bu hamle sosyal medya paylaşımının ardından pek çok tepki aldı.
WhatsApp, Spotify ve bugünkü web trafiğinin yüzde 80’i uçtan uca iletişim güvenliğini tesis eden SSL/TLS protokolünü kullanıyor. Bu protokolün çalışma şekline göre bir web sitesine yapılan istek, sadece ilgili site tarafından görülebiliyor ve değiştirilebiliyor.
Uzmanlara göre, KYK tarafından duyuru metninde yer alan “erişim ile ilgili sorun yaşamanız halinde” ibaresi de bağlantının izlendiği iddialarını pekiştiriyor.
Karar gazetesi teknoloji yazarı ve siber güvenlik araştırmacısı Ziyahan Albeniz, “İnternet sitelerini ziyarette kullanılan Google Chrome, Internet Explorer, Mozilla Firefox gibi web tarayıcıları güvenli bir bağlantı kurulmak istendiğinde, ziyaret edilmek istenen sitenin kendilerine sunduğu sertifikanın ‘güvenilir kabul edilen’ sertifika otoriteleri tarafından imzalanıp, imzalanmadığını kontrol etmekte, şayet sertifika güvenilir bir otorite tarafından imzalandıysa ve zaman aşımına uğramadıysa güvenli bir bağlantı kurulmasına izin vermektedir. Aksi takdirde web sitesi tarafından kullanılan güvenlik tedbirlerine bağlı olarak hatalı ya da sahte sertifika sunulması durumunda ya bir hata mesajı görüntüler ya da bağlantıyı tümden sonlandırılır” dedi.
SERTİFİKA GÜVENİLİR Mİ?
GSBWIFI ağı kendisi üzerinden internet erişimlerinde bu tarz bir sertifika üretimi yaptığı ve üretilen bu sertifika tarayıcıların güvenli kabul ettiği sertifika otoritelerinden biri tarafından imzalanmadığı için kuruma ait kablosuz ağı kullanan öğrencilerden bu sertifikayı şahsi bilgisayarlarına yüklemeleri
Istenmektedir.
ANAYASAYA AYKIRI
Albeniz uygulamanın Anayasa’nın haberleşme hürriyetini ve gizliliğini koruyan 22. maddesine aykırı olduğunu belirterek şöyle konuştu:
“İnternette Suçun Önlenmesi konusunu düzenleyen 5651 numaralı maddenin zaruri kıldığı kayıt kapsamının trafiğin kaynak ve hedefi, zaman bilgileri gibi başlık bilgileri olduğunu belirtmekte; bu bilgiler dışında elde edilmek ve saklanmak istenen iletişime ait her türlü bilginin mahkeme kararı ile gerçekleşebileceğini belirtmekte.”
Uygulamanın, Kazakistan hükümetinin 2015 ve 2019 yıllarında başvurduğu, tüm kullanıcı bilgisayarlarına hükümet tarafından imzalanan sertifikaların yüklenmesi kararını hatırlattığını belirten Albeniz, öğrencileri haberleşme güvenliği için daha dikkatli olması gerektiğini belirtti.
