Kişisel Verilerin Korunması Bülteni - 2024 3. Çeyrek

Türkiye’den Güncel Gelişmeler 

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Eski Düzenlemeler Yürürlükten Kalktı

İkinci çeyrek bültenimizde değindiğimiz üzere; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girdi. 10.07.2024 tarihinde ise, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik yayımlandı. Söz konusu değişiklikler ve Yönetmelik (Yönetmelik) ile birlikte, yurt dışına kişisel veri aktarımını düzenleyen KVKK madde 9 uygulamasına ilişkin usul ve esaslar netleştirilmiştir. Ayrıca, yurt dışı aktarımına dair eski düzenlemelerin (örneğin, açık rıza), 01.09.2024 tarihine kadar yeni düzenlemeler ile birlikte uygulama alanı bulacağı düzenlenmişti.  

01.09.2024 tarihinden itibaren KVKK madde 9 birinci fıkrasının eski versiyonunun uygulaması sona ermiş olup an itibarıyla kişisel verilerin yurt dışına aktarımı yeni usul ve esaslara tabii olarak gerçekleştirilmelidir.

İlgili Yönetmelik’e buradan ve bir önceki bültenimize buradan ulaşabilirsiniz. 

Yapılması Gerekenler

• Yurt dışına kişisel veri aktaran Türkiye’de yerleşik şirketler yurt dışı aktarım süreçlerini gözden geçirmeli ve Yönetmelik’te yer alan uygun aktarım mekanizmalarından birini seçerek uygulamaya koymalıdır.

Kişisel Verileri Koruma Kurumu (Kurum), Ticaret Bakanlığı ile Arasında İş Birliği Protokolü İmzaladığını Duyurdu

Hedefli reklamcılık ve aldatıcı ticari tasarım uygulamaları hakkında toplumun her kesiminde farkındalığın artırılması, dijital reklam ve uygulamalar ile kişisel verilerin kullanımına ilişkin ortak alanlarda uluslararası düzenlemelerin ve uygulamaların takip edilmesi ve ihlallere karşı ortak politika üretilmesi amacıyla, Ticaret Bakanlığı Tüketicinin Korunması ve Piyasa Gözetimi Genel Müdürlüğü ile Kurum arasında 28.08.2024 tarihinde İş Birliği Protokolü imzalanmıştır. Protokol ile, dijital reklam ve uygulamalar konusunda tüketici farkındalığının artırılması ve tüketicilerin kişisel verileri üzerindeki kontrolünün güçlendirilmesi hedeflenmiştir.

Kurum tarafından yayımlanan ilgili protokolün detaylarına buradan ulaşabilirsiniz.

Kurum, Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notunu Yayımladı

Kurum, 05.08.2024 tarihinde "Kanunlarda Öngörülme Kişisel Veri İşleme Şartı" konulu bir bilgi notu yayımladı. Veri sorumluları ve işleyenler için rehber niteliğinde olan bu bilgi notu, kişisel verilerin hangi durumlarda “kanunlarda öngörülme” veri işleme şartına uygun şekilde işlenebileceğine dair hem Türk hukuku hem de Avrupa Birliği (AB) hukuku çerçevesinde ayrıntılı açıklamalar içermekte ve çeşitli kanunlarda yer alan veri işleme şartları ve bunların uygulanabilirliği hakkında somut örnekler vermektedir.

Kurum tarafından yayımlanan bilgi notuna buradan ulaşabilirsiniz.

Kurum, Veri Sorumluları Sicili Hakkında Kamuoyu Duyurusu Yayımladı

Kurum, veri sorumluları siciline kayıt yükümlülüğünü yerine getirmeyen yurtiçinde ve yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularına, 01.08.2024 tarihi itibarıyla 503.935.000 TL idari para cezası düzenlediğini ve kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarına da disiplin cezası verdiğini duyurdu.

Bu kapsamda, Sicile kayıt ve bildirim yükümlülüğü bulunduğu tespit edilen yaklaşık 130.600 veri sorumlusundan bu yükümlülüğünü yerine getirmediği tespit edilen yaklaşık 16.350 veri sorumlusu hakkında Kurul tarafından KVKK’nın 18’inci maddesi uyarınca idari para cezası uygulanmasına devam edilmektedir.

İlgili kamuoyu duyurusuna buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Yurtiçinde ve yurtdışında yerleşik gerçek ve tüzel kişi veri sorumluları, sicile kayıt yükümlüsü olup olmadığını netleştirmeli ve sicile kayıt yükümlülüğü doğduğu andan itibaren yasal süresi içerisinde kayıt ve bildirim süreçlerini tamamlamalıdır.

Ticaret Bakanlığı Tarafından Hazırlanan "Ticari Elektronik İleti Yönetim Sistemi Entegratörleri Hakkında Tebliğ" Resmî Gazete'de Yayımlandı 

İleti Yönetim Sistemi (İYS), tüm hizmet sağlayıcıların güncel ticari elektronik ileti onaylarını kaydettikleri ulusal veri tabanı sistemidir. Ticari elektronik ileti gönderiminde, alıcılara ait onay ve ret bilgilerinin İYS’ye kaydedilmesi, İYS üzerinden onay alınması ve reddetme hakkının kullanılması hususlarında hizmet sağlayıcılarına hizmet vermek üzere faaliyette bulunan ve Ticaret Bakanlığı tarafından yetkilendirilmiş şirket; İleti Yönetim Sistemi Entegratörü olarak kabul edilir.

Düzenleme ile ticari elektronik ileti onay ve ret bilgilerinin İYS’ye kaydedilmesine, bu işlemlerin İYS üzerinden entegratörler aracılığıyla veya hizmet sağlayıcıları tarafından gerçekleştirilmesine, entegratörlerin yetkilendirilmesi ve yetkilerinin iptaline dair usul ve esaslar düzenlenmiştir.

Tebliğe buradan ulaşabilirsiniz.

Dünya’dan Güncel Gelişmeler

Avrupa Birliği Yapay Zekâ (YZ) Yasası Yürürlüğe Girdi

YZ Yasası 12.07.2024 tarihinde AB Resmî Gazetesi’nde yayımlandı ve 01.08.2024 tarihinde yürürlüğe girdi. YZ Yasası, belirli YZ uygulamalarını yasaklamakta ve "yüksek riskli" YZ sistemleri ve genel amaçlı YZ modelleri (GPAI) için düzenlemeler getirmektedir.

YZ Yasası’nın farklı risk kategorilerine ilişkin tüm hükümlerinin Şubat 2025’ten başlayarak 2030 yılı sonuna dek kademeli şekilde uygulanmaya başlanması beklenmektedir. 02.08.2025'te GPAI model sağlayıcılarına yönelik düzenlemeler yürürlüğe girecektir. 02.08.2026'da ise yüksek riskli sistemler için (biyometrik, kritik altyapı, eğitim, istihdam, temel kamu hizmetlerine erişim, kolluk kuvvetleri vb.) yükümlülükler geçerli olacaktır. 02.08.2027 itibarıyla bir ürünün güvenlik bileşeni olarak kullanılmak üzere tasarlanan yüksek riskli sistemler (örneğin, bir aracın YZ tarafından kontrol edilen çarpışma önleyici sistemi) için belirli yükümlülükler uygulanmaya başlanacaktır. Son olarak, 01.01.2030 itibarıyla kamu sektöründeki YZ sistemleri tüm yükümlülüklere uymak zorunda olacaktır.

YZ Yasası’na İngilizce olarak buradan, YZ Yasası’nın zaman çizelgesine buradan ve YZ Yasası’nın Türkiye’deki aktörlere etkisini ele aldığımız makalemize buradan ulaşabilirsiniz.

Uluslararası İlk Yapay Zekâ Çerçeve Sözleşmesi İmzaya Açıldı

YZ, İnsan Hakları, Demokrasi ve Hukukun Üstünlüğüne İlişkin Avrupa Konseyi Çerçeve Sözleşmesi (CETS No. 225), Vilnius'da imzaya açılmıştır. Söz konusu sözleşme, YZ sistemlerinin insan hakları, demokrasi ve hukukun üstünlüğü ile uyumunu sağlamayı amaçlayan uluslararası düzeyde ilk anlaşmadır.

Çerçeve sözleşme, Andorra, Gürcistan, İzlanda, Norveç, Moldova, San Marino, Birleşik Krallık, İsrail, Amerika Birleşik Devletleri (ABD) ve AB tarafından imzalanmıştır. YZ sistemlerinin yaşam döngüsündeki faaliyetleri düzenleyen genel ilke ve kuralları belirleyen anlaşma, etik kullanım ve kişisel verilerin korunmasını teşvik eder. Sözleşme üç Avrupa Konseyi ülkesinin de bulunduğu beş ülke tarafından onaylandıktan sonra yürürlüğe girecektir.

Sözleşmenin orijinal metnine İngilizce olarak buradan, sözleşmeye  ilişkin makalemize buradan ve  duyurumuza buradan ulaşabilirsiniz.

Fransız Veri Koruma Otoritesi (CNIL), YZ Sistemi Geliştirme ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Uyumluluğuna Yönelik Yeni Taslak Önerilerini Kamuoyunun Görüşüne Açtı

Mayıs 2023'te yayınladığı “YZ Eylem Planı” ile YZ üzerindeki GDPR etkilerini netleştirmeyi amaçlayan CNIL, kişisel verilerin korunmasına özen gösteren bir YZ kullanımı için ilk tavsiye setini 07.06.2024’te duyurdu. Ardından, 02.07.2024 tarihinde bu ilkeler üzerine inşa edilen ikinci taslak öneri setini yayınlayarak 01.10.2024 tarihine kadar kamuoyunun görüşüne sundu.

İkinci set, özellikle YZ geliştirme sürecinde web tarama, açık kaynaklı YZ modellerinin paylaşımı ve bireylerin veri üzerindeki haklarının korunması gibi ana konularda “nasıl yapılır” rehberleri ve bir anket içeriyor. Ayrıca, YZ sistemlerinin geliştirilmesinde “meşru menfaat”in birincil yasal dayanak olduğu belirtilerek, kişisel veriler için risk değerlendirmesi yapılması ve koruyucu önlemler alınması gerekliliği vurgulanıyor. CNIL taslak öneriler kapsamında, web tarama uygulamalarının uygulanabilir olduğunu ancak sıkı denetime tabi tutulması gerektiğini belirtiyor. Önerilerde YZ sistemleri kapsamında kişisel verilerin kullanımı hakkında bireylerin makul bir süre öncesinde bilgilendirilmesi gerektiği ve bu bilgilendirmede modele özgü ayrıntılara da yer verilmesi önemseniyor.

CNIL tarafından yayınlanan ikinci öneri setine ilişkin duyuruya İngilizce olarak buradan ulaşabilirsiniz.

Avrupa Komisyonu, Meta’nın “Rıza Ver veya Öde” Modelinin Dijital Piyasalar Yasası’yla (DMA) Uyumlu Olmadığını Bildirdi

Avrupa Komisyonu, Meta’nın “Reklamsız Abonelik / Rıza Ver veya Öde” modelinin DMA ile uyumlu olmadığına dair ön bulgularını bildirmiştir. Söz konusu model, AB kullanıcılarını, reklamsız bir versiyona erişmek için abonelik ücreti ödemek veya kişiselleştirilmiş reklamlar içeren ücretsiz bir sürümü kullanmak arasında seçim yapmaya zorlamaktadır. Komisyon, bu uygulamanın DMA madde 5’te yer alan yükümlülüklere uygun olmadığını ve kullanıcıların özgürce rıza göstermelerine olanak tanımadığını değerlendirmiştir. DMA ile uyumluluğun sağlanması için, onay vermeyen kullanıcılara, reklamların kişiselleştirilmesi için kişisel verilerini daha az kullanan eşdeğer bir hizmete erişim hakkı tanınması gerektiği vurgulanmıştır. 

Bir önceki bültenimizde de değinildiği üzere çevrimiçi platformlar tarafından kullanılan “rıza ver veya öde” modellerine ilişkin Avrupa Veri Koruma Kurulu da görüş bildirmiş ve mevcut modellerin genellikle kullanıcıları ya veri işlemeye rıza göstermeye ya da bir ücret ödemeye zorladığını, bu durumun da rızanın geçersiz sayılmasına yol açabileceğini belirtmiştir.

Görüldüğü üzere, çevrimiçi platformlar tarafından kullanılan mevcut “rıza ver veya öde” modelleri, otoriteler tarafından DMA ve GDPR’a aykırı kabul edilmekte ve bu modellerin kullanıcıların rızasını geçersiz kılabileceği sonucuna varılmaktadır.

Avrupa Komisyonu’nun ilgili basın açıklamasına İngilizce olarak  buradan ve bir önceki bültenimize buradan ulaşabilirsiniz.

İtalya Veri Koruma Otoritesi, İşverenin Ticari Sır Gerekçesiyle Eski Çalışanın Kişisel Verilere Erişim Talebini Reddetmesi Üzerine 10.000 Avro Para Cezası Uygulanmasına Karar Verdi 

Bir veri sahibi, eski işvereni ile iletişime geçerek, kendisine sağlanan dizüstü bilgisayarda bulunan kişisel verilerin bir kopyasını talep etmiştir. Ancak işveren, bu talebi reddederek, bu kopyaların verilmesinin ticari sırların ifşasına yol açabileceğini savunmuştur. Talebin reddi üzerine, veri sahibi 06.04.2022 tarihinde veri koruma otoritesine şikâyette bulunmuştur.

İtalya Veri Koruma Otoritesi, öncelikle veri sahibinin erişim hakkını düzenleyen GDPR madde 15’e yönelik tek sınırlamanın, bu hakkın başkalarının hak ve özgürlüklerini olumsuz etkilememesi olduğuna dikkat çekmiş ve veri sorumlusunun ticari sırlarını koruma menfaatini de bu kapsamda değerlendirmiştir. Ancak bu sınırlamanın veri sorumlusuna GDPR madde 15/4’e dayanarak verilere erişim talebini tamamen reddetme hakkı da vermeyeceğini belirtmiştir. Veri sorumlusunun her iki hak arasında denge kurması gerektiği ve kişisel verilerin kopyasının ticari sır niteliğindeki bilgilerden arındırılarak verilebileceği sonucuna varmıştır. Tüm bu gerekçelere dayanarak veri sorumlusu işveren aleyhinde idari para cezası uygulanmasına karar verilmiştir.

İtalya Veri Koruma Otoritesi’nin kararına İtalyanca olarak buradan ulaşabilirsiniz. 

İsviçre-ABD Veri Gizliliği Çerçevesi (Swiss-DPF) Yürürlüğe Girdi

İsviçre Federal Konseyi, 14.08.2024 tarihindeki toplantısında, Swiss-DPF’nin, özel şirketler veya kamu otoriteleri tarafından ABD’deki katılımcılara kişisel veri aktarımında yeterli veri koruma seviyesi sağladığını onayladı ve Swiss-DPF 15.09.2024 tarihinde yürürlüğe girdi. Bu doğrultuda, İsviçre, AB ’nin AB-ABD Veri Gizliliği Çerçevesi’ni (DPF) takip ederek İsviçre Veri Koruma Yönetmeliği Ek 1’i güncellemiş ve Swiss-DPF kapsamındaki veri paylaşımlarının yeterli veri koruma garantisi sunduğunu kaydetmiştir. Böylece, Swiss-DPF ilkelerine uyum sağlayacaklarını belgelendiren ve listeye eklenen ABD şirketlerine, standart sözleşme maddelerinin imzalanması gibi ek bir güvence gerekmeksizin kişisel veri aktarılabilecektir.

Swiss-DPF’ye İngilizce olarak buradan, İsviçre Federal Konseyi’nin duyurusuna İngilizce olarak buradan ve DPF’e ilişkin detaylı bilgiler içeren makalemize buradan ulaşabilirsiniz. 

Amsterdam Bölge Mahkemesi, X’in (Eski Adıyla Twitter) Bir Kullanıcının Hesabını Geçici Olarak Kısıtlamasını GDPR Uyarınca Otomatik Karar Alma Olarak Değerlendirdi

Karara konu olayda kullanıcı, çocuk pornografisi içeren bir mesaj paylaşmasının ardından “gölgeleme” (shadowban) uygulamasına maruz kalmış, ancak kendisine bu yasak hakkında herhangi bir bildirimde bulunulmamıştır. Kullanıcı, diğer kullanıcıların hesabını bulamadıklarını söylemesiyle durumu öğrenmiş ve bilgi talebinde bulunmuştur; kısıtlamanın kaldırıldığını ise daha sonra öğrenmiştir. X’in yalnızca gizlilik politikasına atıfta bulunarak yanıt vermesi üzerine veri sahibi, Amsterdam Bölge Mahkemesi’ne başvurmuştur. X, kullanıcıyı gazeteci olarak nitelendirerek erişim hakkını kötüye kullandığını ve gölgelemenin otomatik karar verme niteliğinde olmadığını, zira tespit sisteminin parametrelerinin insanlar tarafından belirlendiğini savunmuştur.

Ancak Mahkeme, X’in yanıtının GDPR’a uygun olmadığını ve veri sahibine kişisel verilerinin işlenmesine dair bilgi verilmediğini vurgulamıştır. Ayrıca, mahkeme, otomatik karar verme sürecinin veri sahibini ciddi şekilde etkilediğini ve GDPR’ın 13, 14 ve 15. maddeleri kapsamında veri sorumlusunun bu süreçle ilgili açık, şeffaf bilgi sunması gerektiğini belirtti. Mahkeme, X'in ticari sırların korunmasını gerekçe gösterip yükümlülüklerinden kaçamayacağını belirterek, kişisel verilerin işlenmesi hakkında bilgi sağlaması ve üç ay içinde de cevap vermesi gerektiğini, aksi takdirde günlük 4.000 Avro ceza ödeyeceğini karar altına almıştır.

Karara Felemenkçe olarak buradan ulaşabilirsiniz.

Yapılması Gerekenler

• Veri sorumluları tarafından veri sahiplerine, kişisel verilerin nasıl işlendiğine dair açık ve anlaşılır bir biçimde bilgi sağlanmalı; otomatik karar verme sistemleri hakkında da ayrıntılı bilgilendirme yapılmalıdır.
• Veri sahiplerinin erişim taleplerine zamanında ve uygulanabilir veri koruma mevzuatına uygun bir şekilde yanıt verilmelidir. Yalnızca gizlilik politikasına atıfta bulunulması, veri sahibi taleplerinin yanıtlanması için yeterli değildir.

Avrupa Komisyonu, Avrupa Veri Koruma Denetçisi'nin (EDPS) Microsoft 365 Kullanımının Askıya Alınması Kararına Karşı Dava Açtı

Bir önceki bültenimizde söz ettiğimiz üzere, EDPS, 08.03.2024 tarihinde Avrupa Komisyonu’nun Microsoft 365 kullanımı sırasında temel veri koruma kurallarını ihlal ettiğine ve AB/Avrupa Ekonomik Alanı (AEA) dışına yapılan veri aktarımları için yeterli güvencelerin sağlanmadığına karar vermişti. Bu kararın ardından, Avrupa Komisyonu, AB veri koruma mevzuatını yanlış yorumladığı gerekçesiyle EDPS’ye karşı dava açtı.

AB Resmî Gazetesi’nde yayınlanan iddialara göre, EDPS'nin özellikle yurt dışı aktarımında, Avrupa Komisyonu ile ABD'deki Microsoft Corporation arasındaki veri akışının doğrudan bir aktarım olduğunu varsayarak mevzuat hükümlerini hatalı uyguladığı ileri sürülmektedir. Bu süreç, AB kurumları arasında GDPR ve diğer yasal düzenlemelerin yorumlanması ve veri güvenliği yükümlülükleri açısından önemli bir gelişme olarak öne çıkmaktadır.

Avrupa Komisyon’unun iddialarına İngilizce olarak buradan ulaşabilirsiniz.

Belçika Veri Koruma Otoritesi, YZ Sistemlerinin GDPR Uyumluluğu Hakkında Bir Rehber (Rehber) Yayınladı 

19.09.2024 tarihinde, Belçika Veri Koruma Otoritesi, YZ ve GDPR’a ilişkin yönergeler yayınlayarak veri koruma ilkelerine uygun YZ sistemleri geliştirilmesinin önemini vurguladı. Farklı meslek grupları için hazırlanan bu yönergeler, GDPR ile YZ Yasası’nın birlikte uygulanmasına dair kapsamlı bir kılavuz sunuyor. Rehber, veri işleme süreçlerindeki hukukilik, adillik, şeffaflık, amaç ile sınırlı olma ve veri minimizasyonu gibi GDPR ilkelerine dikkat çekmektedir. Rehber ayrıca, YZ sistemlerinde işlenen insan gözetiminin, güvenlik önlemlerinin ve veri işlemede hesap verilebilirliğinin önemine değiniyor; yüksek riskli YZ sistemleri açısından aydınlatma, belgelendirme, risk değerlendirmesi ve bildirim yükümlülüklerinin daha detaylı yerine getirilmesi gerektiğinin altını çizmektedir.

Rehber’e İngilizce olarak buradan ulaşabilirsiniz.

Bülteni pdf formatında indirmek için tıklayınız.