Eylül 2023 Bülteni
ISACA İSTANBUL CHAPTER Veri Koruma Bülteni
Yaptırımlar
İrlanda Veri Koruma Komisyonu TikTok’a 345 € para cezası verdi
- İrlanda Veri Koruma Komisyonu DPC, TikTok’un 31 Temmuz 2020 ile 31 Aralık 2020 tarihleri arasındaki dönemde çocukların kişisel verilerinin işlenmesiyle ilgili olarak GDPR’a aykırılıkları nedeniyle başlattığı inceleme sonucunda şirkete 345 milyon € para cezası verdiğini duyurdu. Uygulanan yaptırımın nedenleri arasında şirketin reşit olmayan Tiktok kullanıcılarının hesaplarının varsayılan olarak herkese açık olması, bu hesaplarda herkese açık yorumlara izin verilmesi, kullanıcı kaydı sırasında yaş doğrulaması yapılmaması, bir yetişkinin bir çocuğun hesap ayarları üzerinde kontrol sahibi olmasını sağlayan aile eşleştirme planının çocuk kullanıcıyla eşleştirilen yetişkinin bir ebeveyn veya vasi olup olmadığına yönelik kontrol mekanizması kurulmaması gibi bir dizi ihlale dayanıyor.
Google Kaliforniya ile 93 milyon $ tutarında anlaşmaya vardı
- Kaliforniya Başsavcısı Rob Bonta, Google’ın tüketicileri konum izleme uygulamaları konusunda yanıltmakla suçlayan davada 93 milyon $ ödemeyi kabul ettiğini duyurdu. Karara göre dava, Google’ın, kullanıcıların konum geçmişi ayarını kapatsalar bile profilleme yapabilmesi ve kullanıcılara karşı hedefli reklamcılık faaliyetlerini sürdürmesi ile kullanıcıları istenmeyen reklamcılık konusunda aldatmasına dayanıyordu. Google ayrıca kullanıcılara konum ayarlarını etkinleştirirken daha fazla bilgi sağlamak, konum izleme ve veri toplama konusunda şeffaflığı artırmak ve kullanıcılara konum bilgilerinin hedefli reklamcılık için kullanılabileceğini bildirmek de dahil olmak üzere ek önlemleri de kabul etti.
CNIL’den SAF Logistics’e 200.000 € para cezası
- Fransa’nın veri koruma otoritesi CNIL, çok uluslu hava taşımacılığı sağlayıcısı SAF Logistics’e, çalışan verilerine ilişkin Avrupa Genel Veri Koruma Tüzüğü (GDPR) ihlalleri iddiası nedeniyle 200.000 € para cezası verdi. Şirketin çalışanların özel hayatlarına ilişkin aşırı veri toplama işlemi yaptığı şikâyeti üzerine harekete geçen CNIL, GDPR’ın veri minimizasyonu, özel nitelikli verilerin işlenmesi yasağı, ceza mahkumiyeti ve suçlarla ilgili kişisel verilerin işlenmesi yasağı ve veri koruma kurumu ile iş birliği yapma yükümlülüğünün ihlaline ilişkin maddelerine aykırılıklar bulunduğunu tespit etti.
Güney Kore’den 8 milyar KRW para cezası
- Güney Kore Kişisel Bilgileri Koruma Komisyonu PIPC, kişisel veri içeren yaklaşık 300.000 kaydın veri ihlaline uğraması nedeniyle LG Uplus’a 8 milyar KRW para cezası verdi. Şirket ayrıca, Müşteri Kimlik Doğrulama Sisteminin bir bilgisayar korsanı tarafından ihlal edilmesi ve bunun Haziran 2018’de gerçekleşmesine rağmen 23 Ocak’a kadar keşfedilmemesi nedeniyle 27 milyon KRW idari para cezası daha aldı.
FTC’den 5,8 milyon $ para cezası
- Amerika Federal Ticaret Komisyonu FTC, geçmiş raporu sağlayıcıları TruthFinder ve Instant Checkmate’in, tüketicilerin sabıka kaydının olup olmadığı konusunda tüketicileri aldattıkları ve şirketlerin tüketici raporlama ajansı olarak faaliyet göstererek Adil Kredi Raporlama Yasasını (FCRA) ihlal ettikleri yönündeki suçlamaları çözüme kavuşturmak için 5,8 milyon dolar ödemesini talep etti.
İsveç Veri Koruma Kurumu sigorta şirketine 35 milyon SEK para cezası verdi
- İsveç Veri Koruma Kurumu, yaklaşık 650.000 müşterinin kişisel verilerini hukuka aykırı şekilde kullandığı için sigorta şirketi Trygg-Hansa’ya 35 milyon SEK para cezası verdi. Karara göre Trygg-Hansa’nın potansiyel bir müşteriye gönderilen e-posta, diğer poliçe sahiplerinin bilgilerine erişmesine olanak tanıyan tıklanabilir bağlantılar içeriyordu.
Veri İhlalleri
Hotiç Ayakkabı veri ihlal bildirimi yayınladı
- Hotiç Ayakkabı San. ve Tic. A.Ş., Kurul’a ilettiği veri ihlal bildiriminde SMS gönderimleri izin yönetim platformu olarak hizmet alınan veri işleyene ait platform üzerinde veri sorumlusuna tanımlı hesaba yetkisiz kişiler tarafından giriş yapılmaya çalışıldığını ve müşterilerin cep telefonu bilgilerine erişildiği, ilgili kişilere oltalama saldırısı hedefleyen kısa mesaj gönderildiği, ihlalden 1.926.889 kişi olduğu bilgilerine yer verilmiştir.
Doğan Trend ve Suzuki Motorlu Araçlar tarafından veri ihlal bildirimleri yayınladı
- Veri sorumlusu şirketler tarafından yapılan veri ihlal bildirimlerinde, şirketlerin veri işleyeni konumundaki Vodatech Bilişim Proje Danışmanlık Sanayi ve Dış Ticaret AŞ sunucularına yapılan siber saldırı sonucu depolama aygıtlarında bulunan verilerin şifrelenerek erişilemez duruma gelmesiyle gerçekleştiği, 25.07.2023 tarihinde meydana gelen ihlalin 31.07.2023 tarihinde tespit edildiği ve ihlalden etkilenen kişi grubu, sayısı ve veri kategorilerinin henüz belirlenemediği bilgilerine yer verilmiştir.
Defacto tarafından veri ihlal bildirimi yayınlandı
- Defacto Perakende Tic. AŞ tarafından Kurula iletilen veri ihlal bildiriminde, ihlalin müşterilerin profil sayfalarında kendilerine ait olmayan kişisel bilgileri gördüğüne ilişkin bilgilendirme üzerine tespit edildiği, şirketin müşteri içeriklerinin son kullanıcıya eriştirilebilmesi için CDN tüketim trafiği sağlanması adına hizmet aldığı veri işleyen tarafından yapılan geliştirmeler sonrası meydana geldiğ, ihlalden 1337 müşteriye ait kimlik, iletişim ve müşteri işlem verilerinin etkilendiği bilgilerine yer verilmiştir.
Elca Kozmetik Limited Şirketi veri ihlal bildirimi yayınladı
- Elca Kozmetik Limited Şirketi tarafından iletilen veri ihal bildiriminde, ihlalin şirketin dahil olduğu Estee Lauder grup şirketlerinin global düzeyde kullandığı MOVEit isimli yazılımda yaşanan bir veri sızıntısı sonucunda gerçekleştiği, ihlalden müşteri ve potansiyel müşterilere ait isim soyisim, e-mail adresi, cep telefonu, sabit telefon ve doğum tarihi bilgilerinin etkilendiği ve ihlalden etkilenen kişi sayısının yaklaşık 83.185 olduğu bilgilerine yer verilmiştir.
Telcoset veri ihlal bildirimi yayınladı
- Telcoset İleri Teknoloji Stratejik İş Geliştirme Danışmanlık A.Ş. tarafından iletilen veri ihlal bildiriminde, İhlalin, 15 Ekim 2022 tarihinde veri sorumlusu sistemlerine fidye yazılımı saldırısı bulunulması şeklinde gerçekleştiği, yedekler üzerinden sisteme tekrardan erişimin sağlanması ve herhangi bir veri sızıntısının yaşanmadığının düşünülmesi sebebiyle veri ihlal bildiriminde bulunulmadığı, ardından bazı bilgilerin saldırganlar tarafından ele geçirildiği ve internette satıldığı veya satılmaya çalışıldığı yönünde istihbarat alındığı ve ihlale uğrayan verilerin dark web’te yer aldığının görüldüğü bilgilerine yer verilmiştir. Bildirime göre ihlalden çalışanlar, tüzel kişi (müşteri, potansiyel müşteri ve tedarikçi) çalışanları, tedarikçiler, tedarikçi yetkililerine ait kimlik, iletişim, özlük, hukuki işlem, işlem güvenliği, mesleki deneyim verileri” “sağlık bilgisi ve ceza mahkumiyeti ve güvenlik tedbiri verileri etkilenmiştir.
Avusturalya’da 193.000 Pizza Hut müşterisini etkileyen veri ihlali yaşandı
- Guardian haberine göre, yaklaşık 193.000 Avustralyalı Pizza Hut müşterisine ait kişisel veriler bir siber saldırı sonucu ele geçirildi. Bildirme göre erişilmiş olabilecek veriler arasında ad soyad, adres ve teslimat talimatları ile e-posta adresi ve telefon numaraları yer alıyor. Pizza Hut Avustralya CEO’su Phil Reed, ihlalin Avustralya Bilgi Komiserliği Ofisine bildirildiğini belirtti.
Güncel Haberler
IBM Bulut Güvenliği ve Uyumluluk Merkezi’nin genişletildiğini duyurdu
- IBM, işletmelerin hibrit sistemler genelinde riski azaltmalarına ve veri korumalarına yardımcı olmak üzere tasarlanmış, modernleştirilmiş bulut güvenliği ve uyumluluk çözümlerinden oluşan bir paket olan IBM Cloud Security and Compliance Center’ın genişletildiğini duyurdu.
ICO, regl ve doğurganlık izleme uygulamalarını gözden geçireceğini duyurdu
- Birleşik Krallık Bilgi Komisyonu Ofisi ICO, doğurganlık ve regl takip uygulamalarının veri koruma uygulamalarını inceleyeceğini duyurdu. Duyuruda yer verilene göre, ICO tarafından gerçekleştirilen bir anket kullanıcıların yarısından fazlasının bir uygulamayı seçerken paylaştıkları verilerin güvenliği ve bunların nasıl kullanıldığına ilişkin şeffaflık konusunda endişeleri olduğunu gösteriyor.
NOYB, mobil uygulamaların yasa dışı kullanımı nedeniyle 3 Fransız şirkete karşı şikâyette bulundu
- Cybernews haberine göre kar amacı gütmeyen gizlilik savunuculuğu grubu NOYB, Fransa’da elektronik mağazası Fnac, emlak uygulaması SeLoger ve sağlık uygulaması MyFitnessPal’ın kullanıcıların kişisel verilerine yasa dışı olarak eriştiği ve bunları paylaştığı iddiasıyla şikayette bulundu. NOYB, uygulamaların Android akıllı telefonlarda açılmasının ardından şirketlerin kullanıcı verilerini toplayıp analiz amacıyla üçüncü taraflarla paylaştığını iddia ediyor.
Suudi Arabistan Kişisel Verilerin Korunması Kanunu yürürlüğe girdi
- Suudi Gazetesi haberine göre, Suudi Arabistan Kişisel Verilerin Korunması Kanunu 16 Eylül’de yürürlüğe girdi. Kanun, “ayrıntılı bir veri işleme standartları çerçevesi, ilgili kişi hakları, ilgili kurumların veri işleme kurallarına ilişkin yükümlülükleri ile veri egemenliği ve ihlal durumunda cezalar dahil olmak üzere verilerin toplanmasını, işlenmesini, açıklanmasını ve korunması konularını düzenliyor.
Air Canada siber saldırıya uğradığını duyurdu
- Air Canada, çalışanların kişisel verilerini tehlikeye atan bir siber saldırıya maruz kaldığını duyurdu. Air Canada sözcüsü Peter Fitzpatrick, bilgisayar korsanlarının ne müşteriye yönelik sistemlerini ne de havayolunun uçuş sistemlerini ihlal etmediğini belirtti.