Ağustos 2023 Bülteni
ISACA İSTANBUL CHAPTER Veri Koruma Bülteni
Yaptırımlar
Amazon çocukların gizliliği yasası ihlaline ilişkin 25 milyon $ ödemeyi kabul etti
- ABD Adalet Bakanlığı ve Federal Ticaret Komisyonu, Amazon’un, Alexa sesli asistanıyla ilgili olarak çocukların mahremiyet ihlalleri iddiasını çözmek için kalıcı bir ihtiyati tedbir ve 25 milyon $ tutarında para cezası ödemeyi kabul ettiğini duyurdu. Anlaşmaya neden olan davada şikayetler arasında Amazon’un çocukların ses kayıtlarını süresiz olarak elinde tutması, coğrafi konum bilgileri ve ses kayıtlarıyla ilgili olarak “haksız gizlilik uygulamalarına girmesi ve verileri imha etmemesi iddiaları yer alıyordu.
BetterHelp 7,8 milyon $ ödeyecek
- ABD Federal Ticaret Komisyonu, çevrimiçi danışmanlık firması BetterHelp’in sağlık verilerini reklam amacıyla paylaşmasını yasaklayan ve 7,8 milyon $ ödemesini gerektiren kararı kesinleştirdi. Karar, çevrimiçi danışmanlık hizmetinin tüketicilerin sağlık verilerini reklam amacıyla ve kişisel verileri yeniden hedefleme amacıyla paylaşmasını yasaklıyor. BetterHelp’in karar gereği ödeyeceği 7,8 milyon $, tüketicilere kısmi geri ödeme sağlamak için kullanılacak.
Bordro işleme şirketi UKG 6 milyon $ ödeyecek
- Bordro işleme şirketi UKG, 2021’deki bir fidye yazılımı saldırısından kaynaklanan çok sayıda toplu davada 6 milyon $ tutarında bir anlaşma yapmayı kabul etti. Şirketin Kronos Privacy Cloud hizmetini ve Tesla, PepsiCo ve New York Büyükşehir Ulaşım Otoritesi dahil olmak üzere etkilenen varlıkları etkileyen saldırı nedeniyle başlayan davada şirket ayrıca siber güvenlik savunmalarını iyileştirmek için yaklaşık 1,5 milyon $ harcamayı kabul etti.
Apple’a Avusturalya’dan 20 milyon AUD ceza
- Avustralya Federal Mahkemesi, Meta’nın Facebook İsrail’ine ve şu anda durdurulan Onavo’ya, veri toplama uygulamalarını yeterince ifşa etmedikleri için toplam 20 milyon AUD para cezası verdi. Mahkeme, iki şirketin, Meta’nın ticari amaçları da dahil olmak üzere, kullanıcıların verilerinin Onavo Protect’i sağlamak dışındaki amaçlar için kullanılacağını yeterince ifşa etmeyerek, Onavo Protect uygulamasına yönelik tanıtımlarda halkı yanıltabilecek davranışlarda bulunduğunu belirtti.
İtalya’dan geçiş ücreti geri ödeme uygulamasına 1 milyon € ceza
- İtalya Veri Koruma Otoritesi Garante, Autostrade per l’Italia SpA’ya (ASPI) şirketine Free to X isimli bir geçiş uygulaması aracılığıyla yaklaşık 100.000 kayıtlı kullanıcının verilerinin yasa dışı bir şekilde işlenmesi nedeniyle 1 milyon € ceza verdi. Garante, araştırmasının sonunda ASPI ile Free to X arasındaki anlaşmanın ASPI’yi yanlış bir şekilde veri sorumlusu yerine veri işleyen olarak tanımladığını belirledi. Bu bağlamda Garante, iki şirketin oynadığı rollerin yanlış nitelendirilmesinin kullanıcılara sağlanan bilgi gizliliği bildirimini etkilediğini ve bu nedenle doğru bir şekilde formüle edilmediğini kaydetti.
Veri İhlalleri
Milyonlarca kişiye ait sağlık verisi ihlale uğradı
- Uluslararası sağlık hizmet sağlayıcısı HCA Healthcare, yetkisiz bir tarafça veri hırsızlığından kaynaklanan ve yaklaşık 11 milyon hastayı etkileyen bir veri ihlalini doğruladı. İhlal bildirimine göre, “yetkisiz bir taraf hastalarla ilgili bir bilgi listesi aldı ve bunu çevrimiçi bir forumda kullanıma sundu.” 27 milyondan fazla veri satırından oluşan listenin, hastalara gönderilen e-postalarda ve randevu hatırlatıcılarında kullanılan bilgileri içerdiği bildirildi. Yetkilileri verilerin kişisel olarak tanımlanabilir bilgiler içerdiğini, ancak klinik veya ödeme verilerini içermediğini söyledi.
34 milyon Endonezya vatandaşının pasaport bilgileri çalındı
- 34 milyondan fazla Endonezya pasaportu, ülkenin Hukuk ve İnsan Hakları Bakanlığı’ndaki Göçmenlik Genel Müdürlüğü’nü etkileyen büyük bir veri ihlaliyle sızdırıldı. Habere göre, Ethical Hacker Endonezya’nın kurucusu tarafından elde edilen bir ekran görüntüsünden, bilgisayar korsanının çalınan pasaport verilerinin 4GB’ını bir bilgisayar korsanlığı forumunda 10.000 $ karşılığında sunduğu anlaşılıyor.
Mivento Bilişim Hizmetleri ve Ticaret A.Ş. bünyesinde meydana gelen bir ihlal nedeniyle 8 şirket veri ihlal bildirimi yayınladı
- Kişisel Verileri Koruma Kurulu’nun ver ihlal bildirimlerine ilişkin kamuoyu duyurusu sayfasında, bayi çalışanları için hediye/promosyon uygulamalarının yönetildiği bir alt yapı hizmetinin sağlanması konusunda hizmet sağlatan Mivento Bilişim Hizmetleri ve Ticaret Anonim Şirketine ait bir siber saldırı nedeniyle 8 şirket veri ihlal bildirimi yayınladı. Bildirim yapan şirketler arasında Anadolu Isuzu Otomotiv, Toyota Türkiye, Vodafone Dağıtım Servis ve İçerik Hizmetleri A.Ş., Vestel, Mais Motorlu Araçlar, Çelik Motor Ticaret A.Ş, Geberit Tesisat Sistemleri şirkerleri yer alıyor. Bildirimlere göre ihlalden etkilenen kişi sayısı değişmekle birlikte çalışanlara ait muhtelif verilerin etkilendiği görülüyor.
Oden İnşaat Turizm ve Ticaret A.Ş. veri ihlal bildirimi yayınladı
- Oden İnşaat Turizm ve Ticaret A.Ş. (Çeşme Ilıca Hotel SPA&Wellness Resort) Kurul’a ilettiği veri ihlal bildiriminde şirkete e-posta oltalama saldırısı gerçekleştirilmesi neticesinde, saldırganlar tarafından booking.com booking extranet ekranına erişim sağlandığı, ilgili ekranda müşterilere ait ad soyad, rezervasyon tarihi, telefon numarası, e-posta adresi bilgilerinin yer aldığı ve müşterilere e-posta gönderilerek kredi kartı bilgilerinin elde edilmeye çalışıldığı, ihlalden etkilenen kişi sayısının ise 155 olduğu bilgilerine yer verildi.
Güncel Haberler
AB-ABD Veri Gizlilik Çerçevesi yeterlilik kararı kabul edildi
- Avrupa Komisyonu, AB-ABD Veri Gizliliği Çerçevesi hakkında yeni bir yeterlilik kararını resmen kabul etti. Bu Yeterlilik Kararı, AB-ABD arasındaki veri transferinin hukuka uygun şekilde gerçekleşmesine imkan veren “Safe Harbor” ve “Privacy Shield” mekanizmalarının Schrems I ve Schrems II kararlarıyla geçersiz kılınmasının ardından yıllarca süren uzun müzakerelerin ardından kabul edildi. Avrupa Komisyonu Başkanı Ursula von der Leyen, yeni çerçevenin “Avrupalılar için güvenli veri akışı sağlayacağını ve Atlantik’in her iki yakasındaki şirketlere yasal kesinlik getireceğini” söyledi.
Norveç Meta’nın gözetlemeye dayalı reklamlarına yasak getirdi
- Norveç Veri Koruma Otoritesi Datatilsynet, Facebook ve Instagram’ın gözetlemeye dayalı davranışsal reklamlarına 4 Ağustos’tan itibaren üç aylık bir yasak getireceğini duyurdu. Ana şirket Meta’nın profil oluşturma uygulamalarının “yasa dışı” olduğuna inandığını söyleyen DPA, para cezası verecek şirket uymazsa günlük 100.000 $ yakın para ödeyecek.
ICO gazeteciler ve medya kuruluşları için uygulama kuralları yayınladı
- Birleşik Krallık Bilgi Komiserliği Ofisi ICO, gazeteciler ve medya kuruluşları için veri koruma hususlarına ilişkin uygulama kuralları (code of practice) yayınladı. Kodun yürürlüğe girmesi için DPA 2018’in 125. bölümünde belirtilen yasal süreci tamamlaması ve Dışişleri Bakanı tarafından parlamentoya sunulması gerekiyor.
Hong Kong PCPD veri ihlal kılavuzu yayınladı
- Hong Kong Gizlilik Komiseri Ofisi, veri ihlallerinin yönetilmesi ve veri ihlal bildirimlerine yönelik kılavuz yayınladı. Teknolojik ilerlemelerle birlikte siber saldırılardaki artış dikkat çeken duyuruda, kuruluşların bir veri ihlaliyle karşılaştıklarında “gerekli bilgilerin derhal toplanması, “veri ihlalinin kontrol altına alınması”, “zarar riskinin değerlendirilmesi”, “veri ihlal bildirimleri” ve “ihlalin belgelendirilmesinden” oluşan 5 temel adımın izlenmesi gerektiğini belirtti.
CNIL API kullanımı hakkında tavsiye yayınladı
- Fransa Veri Koruma Otoritesi CNIL, kişisel verilerin API’lar aracılığıyla paylaşılmasına ilişkin iyi uygulama örnekleri duyurdu. Duyuruda, idareler, özel kuruluşlar ve hatta bireyler arasında veri paylaşımını amaçlayan cihazlarda artış gözlemlendiği ve bu paylaşımlar yapılırken kullanılan API’ları tasarlar ve kullanırken bazı en iyi uygulamaların dikkate alınması gerektiği belirtildi.
Google Bard Avrupa’da kullanıma açıldı
- Google, üretken yapay zeka platformu Bard’ı AB’de kullanıma sundu. Google’ın Ürün Direktörü Jack Krawczyk, veri koruma yetkilileriyle yapılan görüşmelerin, veri kullanımı konusunda şeffaflığa odaklanılmasıyla sonuçlandığını ve kullanıcılara Google’ın kendi bilgilerini kullanması konusunda bir seçim hakkı tanıdığını söyledi. İrlanda Veri Koruma Komisyonu, Google’ın Bard’ın AB’deki üç aylık faaliyetinin ardından bir rapor sunacağını söyledi.
Brezilya’dan Meta’ya inceleme
- Brezilya Veri Koruma Otoritesi Autoridade Nacional de Proteção de Dados, Teknoloji ve Araştırma Genel Koordinasyonu aracılığıyla, kişisel verilerin Meta şirketi tarafından işlenmesini incelemek için çalışmalar başlattığını duyurdu.
Komisyon’dan GDPR’ı güçlendirme teklifi
- Avrupa Komisyonu, sınır ötesi veri aktarımında AB Genel Veri Koruma Yönetmeliğinin uygulanmasını güçlendirmek için yeni “somut usul kuralları” önerdiğini duyurdu. Duyuruya göre Komisyon, yetkililerin birlikte çalışırken, soruşturma yürütürken ve veri sahipleri ve temsilcilerinin şikayetlerini ele alırken uygulamak zorunda oldukları bazı usul kurallarını uyumlu hale getirmeyi teklif ediyor. Teklif, sınır ötesi şikayetler için gereklilikleri uyumlu hale getiriyor, soruşturma altındaki taraflara uyuşmazlık çözümü dahil olmak üzere “kilit aşamalarda” dinlenilme hakkı veriyor ve uyuşmazlık çözümü mekanizmasını kolaylaştırıyor.