Her bir veri aslında bir bilgidir. Hangi verilerin kişisel olduğu ve kişisel veri kuralları kapsamında korunacağı ise asıl tartışma konusudur. Avrupa'da GDPR, ülkemizde KVKK ile kişisel veri tanımlaması için bir temel oluşturulmuştur. Ancak bu temele her geçen gün yeni bir ekleme yapılmaktadır. Örneğin bu ayki bültenimizde, "takma ad" verisinin belli şartlar ile kişisel veri kapsamında değerlendirilebileceğine ilişkin bir kılavuzdan bahsedilmiştir. Kişisel verinin kapsamına hangi verilerin girebileceği konusunun güncelliğini bir süre daha koruyacağı şüphesizdir.
Bu bültenle kişisel verilerin kullanımı, işlenmesi, ihlali gibi konulardaki yeni gelişmeleri sizlerle paylaşmaktan mutluluk duyuyoruz. Kişisel Veri Bültenimizi takip etmeye devam edin, güncel gelişmelerden geri kalmayın !
Gelecek bugün,
Biliyoruz!
Tuba Tosun

KURUM YKS SINAV SONUCUNU İZİNSİZ PAYLAŞAN HABER SİTESİNE 30.000 TL PARA CEZASI VERDİ[1]
Kişisel Verileri Koruma Kurulu’nun 2022 yılında yayımlanan ilk kararlarından biri sınav sonuç belgesinin izinsiz paylaşıma ilişkin oldu. Kurum 06.01.2022 tarih 2022/13 sayılı kararında, rıza alınmadan sınav sonuç belgesi paylaşımının kişisel veri güvenliğinin ihlaline neden olacağını göstermiş oldu.
Kuruma ulaşan şikayette; ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı, kişisel verilerinin bu şekilde hukuka aykırı olarak işlenmesi sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu gereği veri sorumlusuna başvurarak bilgi talebinde bulunduğu, söz konusu başvurunun tebliğ edilmesine karşın yanıtsız bırakıldığı ifade edilerek konuya ilişkin Kanun kapsamında gereğinin yapılması talep edilmiştir.
Kurum tarafından yapılan inceleme ile şikayete konu kişisel veri işleme faaliyetinin ifade özgürlüğü kapsamında değerlendirilemeyeceği belirtilerek veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin kişisel verilerinin korunması için gereken her türlü idari ve teknik tedbirlerin alınmaması nedeniyle Kanun’un 12. maddesi gereği kişisel verilerin hukuka aykırı olarak işlendiğine kanaat getirilmiştir. Karar tarihi itibariyle söz konusu kişisel verilerin veri sorumlusuna ait internet sitesinden kaldırılmış olduğu hafifletici unsur olarak dikkate alındığından şikayet edilen haber sitesine 30.000 TL idari para cezası verilmesine karar verilmiştir.
GRİNDR, VERİ GİZLİLİĞİ KURALLARINI ÇİĞNEDİĞİ İÇİN NORVEÇ TARAFINDAN 6 MİLYON EURO'DAN FAZLA PARA CEZASINA ÇARPTIRILDI [2]
Norveç'in veri koruma gözlemcisi, flört uygulaması Grindr'a GDPR’ın gizlilik kurallarını ihlal ettiği için 6 milyon Euro'dan fazla para cezası ödeyeceğini açıkladı. Grindr şirketinin, kullanıcıların kişisel verilerini, izinleri olmadan, yüzlerce potansiyel reklam ortağı ile paylaştığı tespit edildi. Böylelikle Norveç Veri Koruma Otoritesi'nin şimdiye kadarki en yüksek para cezası 65 milyon kron (6,35 milyon €) ile Grindr şirketine verilmiş oldu.
2020'de Norveç Tüketici Konseyi, uygulamanın kullanıcıların GPS konumlarını, IP adreslerini, yaşlarını, cinsiyetlerini ve uygulamayı kullanımlarını yasa dışı bir şekilde paylaştığını söyleyerek Grindr aleyhine bir şikayette bulunmuştu. Konsey, kişisel bilgilerin, kullanıcıların izni olmadan pazarlama amacıyla birkaç üçüncü tarafa gönderildiğini iddia etmişti.
Norveç, 2021 Ocak ayında, veri gizliliği ihlalleri nedeniyle 9 milyon Euro'dan fazla veya küresel cirosunun yaklaşık %10'undan fazla para cezası uygulanabileceği konusunda şirketi uyarmıştı.
Yapılan incelemeler ile, kullanıcıların uygulamayı kullanmak için şirket gizlilik politikasını bütünüyle kabul etmeye zorlandığı anlaşıldı. Norveç Veri Koruma Yetkilisi, Grindr kullanıcılarına, verilerinin "davranışsal reklam için" üçüncü taraflarla paylaşılmasına izin vermek isteyip istemediklerinin özellikle sorulmadığını ifade etti.
ICO “ANONİMLEŞTİRME, TAKMA İSİMLENDİRME VE GİZLİLİĞİ ARTIRICI TEKNOLOJİLER KILAVUZU”NUN ÜÇÜNCÜ BÖLÜMÜNÜ YAYIMLADI[3]
Bilgi Komiserliği Ofisi ("ICO") 7 Şubat 2022'de anonimleştirme, takma ad ve gizliliği artırıcı teknolojilere ilişkin taslak kılavuzunun üçüncü bölümünün yayımladı. Kılavuzda “takma ad” kavramına odaklanılarak takma adlı verilerin kişisel veri olup olmayacağı değerlendirmesi yapıldı.
Kılavuz'da GDPR bağlamında takma adlara atıfta bulunurken, verilerin ek bilgi olmadan ve tanımlanamayacak şekilde değiştirilmesi, kaldırılması ve dönüştürülmesi işlemi olduğu belirtilmiştir. Bir takma adın, ilgili kişiyi tanımlayabilecek ölçüde kişisel veri olarak değerlendirilebileceği Kılavuz’dan anlaşılmaktadır.
Anonimleştirilmiş veriler kişisel veri değildir. Birleşik Krallık bu Kılavuz ile GDPR'nin 26. maddesini gerekçe göstermiş ve takma ad verilmiş verilerin etkili bir şekilde anonimleştirilmediği' ölçüde hala kişisel veri kapsamında değerlendirileceğini belirtmiştir.
Kılavuz'un yayımlanan bu üçüncü bölümü, takma adlı verilerin durumunu ortaya koyarken, ICO takma adlı verileri başka bir kuruluşa açıklamanın kişisel verilerin açıklanması anlamına gelip gelmediğini henüz doğrulamadı.
2012'de ICO, Anonimleştirme Uygulama Kuralları’nda "verileri açıklayan kuruluş, yeniden tanımlamaya izin verecek diğer verileri elinde tutuyor" olsa bile, anonimleştirilmiş veya takma adlı verilerin açıklanmasının kişisel verilerin açıklanması anlamına gelmeyeceğini belirtilmişti. Bu durum şeffaflıkla ilgili olanlar da dahil olmak üzere herhangi bir takma adlı veriyi ifşa eden bir kuruluşun bu verilerin paylaşımından kaynaklanan veri koruma mevzuatı kapsamındaki yükümlülüklere tabi olmayacağı anlamına geliyordu. Bunun nedeni ICO'nun kişisel veri öznelerini korumak için veri sahibi kuruluşların bu verileri anonimleştirme veya takma ad kullanma konusunda teşvik etme istekliliği gibi görünüyordu. Bununla birlikte, GDPR'nin yürürlüğe girmesinden bu yana, özellikle GDPR'nin 26. maddesi ile 2018'den bu yana yayınlanan tüm ICO kılavuzları ışığında, takma adlı verilerin açıklanmasının kişisel verilerin açıklanmasıyla aynı şekilde ele alınması gerekip gerekmediği sorununu ortaya koyuyordu. Yayımlanan bu kılavuz takma adlı verilerin kişisel veri olarak değerlendirilebileceğine ilişkin bir adım olmuş oldu.
CLEARVİEW AI’IN FRANSA VATANDAŞLARININ VERİLERİNİ RIZA ALMADAN KULLANDIĞI İDDİA EDİLDİ[4]
Fransa vatandaşlarının kişisel verilerini yasa dışı bir şekilde topladığı iddia edilen Amerikalı yüz tanıma teknolojisi şirketi Clearview AI’ın GDPR’ı ihlal ettiği tespit edildi. Fransız veri koruma gözlemcisi (CNIL), Clearview AI şirketinin binlerce Fransız vatandaşın fotoğrafını topladığını belirtti. Yetkili ofis iki ay içinde şirketin görüntü veritabanını silmesini ve veri toplamayı durdurmasını ihtar etti.
CNIL tarafından yapılan açıklamada, Mayıs 2020'de Clearview AI'ın yazılımı hakkında ilk şikayetleri aldıktan sonra bir soruşturma başlatıldığı ifade edildi. Clearview AI daha önce "Herhangi bir AB müşterisi ile herhangi bir sözleşmesi olmadığını ve şu anda AB müşterilerinin kullanımına açık olmadığını" belirtmişti. Ancak Clearview AI, "verilerine erişim talepleri de dahil olmak üzere, bireylerin haklarını yeterli ve etkili bir şekilde ele almamakla" suçlandı. Fransa'ya göre Clearview AI, şimdiye kadar dünya vatandaşlarının 10 milyar görüntüsünden oluşan bir veri tabanı toplamıştı. Bu görüntülerin büyük oranda sosyal medya platformları aracılığıyla İnternet'e yüklenen fotoğraf ve videolardan alınmış veya kazılmış olduğu öne sürüldü. Şirketin daha sonra bu verileri yüz tanıma yazılımı aracılığıyla pazarlayıp; örneğin suçluların belirlenmesine yardımcı olmak için kolluk kuvvetlerine sattığı tahmin ediliyor.
KAYNAKLAR:
[1] https://kvkk.gov.tr/Icerik/7179/2022-13 [2] https://www.euronews.com/2021/12/15/grindr-fined-over-6-million-by-norway-for-breaking-data-privacy-rules [3] https://www.mondaq.com/uk/privacy-protection/1163766/pseudonymised-data-is-personal-data-but-in-whose-hands-ico-calls-for-views-on-third-chapter-of-draft-anonymisation-guidance? [4] https://www.euronews.com/2021/12/16/facial-recognition-clearview-ai-breaks-eu-data-privacy-rules-says-french-watchdog
Comments