Ekim 2023 Bülteni
ISACA İSTANBUL CHAPTER Veri Koruma Bülteni
Yaptırımlar
Yazılım şirketi Blackbaud veri ihlali nedeniyle 49,5 milyon $ anlaşamaya vardı
- Hayırseverlik, sağlık ve eğitim sektörlerine yönelik bir yazılım sağlayıcısı olan Blackbaud Inc., 2020 yılında milyonlarca tüketicinin kişisel verilerinin açığa çıkmasına neden olan bir veri ihlali nedeniyle ABD’nin Columbia bölgesi ve 49 ABD eyaleti ile süre gelen toplu dava sonucu 49,5 milyon $ tutarında anlaşmaya vardığını duyurdu. Şirketin, ayrıca yürürlükteki yasalara uymayı, veri koruma, mahremiyet, güvenlik, mahremiyet, bütünlük, ihlal bildirim gereklilikleri ve benzeri konularda yanıltıcı beyanlarda bulunmamayı ve belirli siber güvenlik program ve araçlarını uygulamayı ve iyileştirmeyi kabul ettiği belirtildi.
ICO, tüketici kredisi değerlendirme kuruluşu Ltd’ye 11 milyon £ ceza verdi
- Birleşik Krallık Veri Koruma Otoritesi ICO, tüketici kredi değerlendirme kuruluşu Equifax Ltd’ye tarihteki en büyük siber güvenlik ihlallerinden birinde oynadığı rol nedeniyle 11 milyon £ para cezası verdiğini duyurdu. Yaptırım, 2017 yılında gerçekleşen ve yaklaşık altı hafta boyunca süren ve 148 milyon ABD vatandaşının yanı sıra, ABD sunucularında saklanan 13,8 milyon Birleşik Krallık vatandaşının verilerii etkileyen bir siber saldırıdan kaynaklanıyor.
İtalya’dan 10 milyon € ceza
- İtalya Veri Koruma Otoritesi Garente, kamu hizmetleri sağlayan Axpo Italia’ya, 5.000’den fazla müşterinin kişisel verilerin hukuka aykırı şekilde işlemesi nedeniyle 10 milyon € para cezası verdiğini duyurdu. Yaptırımın temelinde şirketin elektrik ve gaz tedariki bağlamında, talep edilmemiş sözleşmeler yoluyla müşterilerin ve potansiyel müşterilerin doğru ve güncel olmayan kişisel verilerinin işlenmesi yer alıyor.
Hırvatistan Veri Koruma Otoritesi borç tahsilat kurumuna 5,47 milyon € para cezası verdi
- Hırvatistan Veri Koruma Otoritesi AZOP, borç tahsilat kurumu Eox Matrix’e kişisel verileri hukuka aykırı işlemesi nedeniyle 5,47 milyon € para cezası verdi. Yaptırım uygulanan kurumun, borçlu-alacaklı ilişkilerinde borçlu veya mirasçıların kanuni temsilcisi olmayan kişilere ait kişisel verileri de herhangi bir hukuki dayanak olmadan kullandığı tespit edildi.
Veri İhlalleri
Havaist Taşımacılık veri ihlal bildirimi yayınladı
- Havaist Taşımacılık Sanayi ve Ticaret A.Ş., Kurul’a ilettiği veri ihlal bildiriminde, kısa mesaj gönderimleri için hizmet alınan veri işleyen firmanın sistemlerine saldırıda bulunulduğu ve ilgili kişilerin bilgilerine yetkisiz erişim sağlandığı, ilgili kişilere oltalama saldırısı ile kısa mesaj gönderildiği, ihlalden etkilenen kişi grubu bilinmemekle birlikte yaklaşık 77.000 kişiye ilişkin cep telefonu verisinin etkilendiği bilgilerine yer verilmiştir.
Tokat Gaziosmanpaşa Üniversitesi veri ihlal bildirimi yayınladı
- Tokat Gaziosmanpaşa Üniversitesi Kurul’a ilettiği veri ihlal bildiriminde, Ulusal Siber Olaylara Müdahale Merkezi (USOM) tarafından yürütülen tehdit istihbaratı faaliyetleri kapsamında Reşadiye Meslek Yüksekokuluna ait olduğu değerlendirilen öğrenci bilgilerinin saldırganlar tarafından internette çeşitli forum sitelerinde satıldığı veya satılmaya çalışıldığı bilgisinin bildirildiği, yapılan incelemelerde yurtdışı IP adreslerinden veri sorumlusu sistemlerine yetkili kullanıcı olarak giriş yapıldığının tespit edildiği, ihlalden tahminen 741 öğrenciye ait kimlik, iletişim, görsel ve işitsel kayıt verilerinin etkilendiği bilgilerine yer verilmiştir.
Johnson Controls Klima veri ihlal bildirimi yayınladı
- Johnson Controls Klima ve Servis Soğutma San. ve Tic. Ltd. Şti., Kurul’a ilettiği veri ihlal bildiriminde, şirketin 24.09.2023 tarihinde fidye yazılımı saldırısına maruz kaldığı, bu saldırıdan kişisel veri içeriyor olabilecek bazı bilgi teknolojilerinin de etkilendiği, ihlalden etkilenen kişi sayısı ve grupları ile etkilenen verilerin henüz tam olarak bilinmediği bilgilerine yer verilmiştir.
23andMe adlı milyonlarca kişiye ait genetik veriyi sızdırdı
- Genetik yatkınlık testleri için binlerce kişiden genetik materyal toplayan genom bilimi şirketi 23andMe’nin 1 milyon kişiye ait genetik verileri çaldırdığı ortaya çıktı. Kişilerin ad ve soyad, cinsiyeti ve bireysel soy değerlendirme ayrıntılarını içeren bilgilerinin ihlal edildiği olayın ardından, milyonlarca kullanıcının kayıtlarını içeren veri kümesinin sızıntıya uğradığı ikinci bir veri ihlal vakası meydana geldi. İhlale uğrayan veri seti içerisinde ABD ve Batı Avrupa’da yaşayan en zengin kişilerin kişisel verilerinin de yer aldığı belirtiliyor.
Güncel Haberler
Kişisel Verileri Koruma Kurumu ile Rekabet Kurumu arasında İş Birliği Protokolü imzalandı
- Kişisel Verileri Koruma Kurumu, Rekabet Kurumu ile arasında İş Birliği ve Bilgi Paylaşımı Protokolü imzalandığını duyurdu. Kurum, iş birliğine ilişkin duyurusunda büyük veri teknolojileri ile kişisel verilerin giderek artan bir şekilde işlenmesinin rekabetin ve kişisel verilerin korunması bakımından önemli endişeler uyandırabildiğine dikkat çekerek bu ilişkinin ilgili otoriteler arasındaki iş birliğini kaçınılmaz hale getirdiğini belirtti. Duyuruya göre iş birliği protokolü ile sektörde etkin rekabetin tesis edilmesi ve tüketicilerin kişisel verileri üzerindeki kontrolünün güçlendirilmesi hedefleniyor.
Kişisel Verileri Koruma Kurumu Genetik Verilerin İşlenmesine İlişkin Rehber Yayınladı
- Kişisel Verileri Koruma Kurumu, Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber yayınladı. Rehberde, genetik veri kavramı detaylı şekilde açıklanarak biyolojik örnek toplayan tüm veri sorumlularının söz konusu örneklerin güvenliğini sağlamak konusunda gerekli teknik ve idari tedbirleri alması gerektiği belirtildi.
Öğrenci görüntüleri izin olmadan sosyal medyada yayımlanamayacak
- Milli Eğitim Bakanlığı Okul Öncesi Eğitim ve İlköğretim Kurumları Yönetmeliği’nde yapılan değişiklik ile öğrenci görüntülerinin sosyal medya mecralarında ilişkin hüküm getirildi. Yönetmelik değişikliğine göre, öğrencilerin okul içi ve okul dışında yapılan eğitim etkinlikleri, sosyal ve kültürel faaliyetler ile gezi ve gözlem faaliyetleri esnasında çekilen görüntülerinin ancak, veliden ve rehberlik öğretmeni gözetiminde öğrenciden yazılı izin alınması kaydıyla yayımlanabilecek.
ICO, iş yerinde yasal gözetlemeye ilişkin rehber yayınladı
- Birleşik Krallık Veri Koruma Otoritesi ICO, işçilerin yasal, şeffaf ve adil bir şekilde izlenmesine ilişkin işverenlere yönelik bir rehber yayınladı. ICO, rehbere ilişkin duyurusunda otorite tarafından yapılan bir araştırma göre halkın %70’inin bir işveren tarafından izlenmeyi rahatsız edici bulduğunu belirtti. Hem kamu hem de özel sektördeki işverenleri hedefleyen rehber, izlemenin nasıl yasal ve adil bir şekilde yürütülebileceği konusunda net bir yönlendirme sağlıyor.
İrlanda Veri Koruma Otoritesi vaka çalışmaları el kitabı yayınladı
- İrlanda Veri Koruma Otoritesi DPC, AB Genel Veri Koruma Yönetmeliği GDPR’ın yürürlükteki ilk beş yılını kapsayan dikkate değer vaka çalışmalarını derlediği bir el kitabı yayınladı. DPC’nin misyonunun veri koruma yasasının tutarlı bir şekilde uygulanmasını desteklemek ve veri koruma mevzuatına uyumu teşvik etmek olarak özetlendiği el kitabında 126 örnek vaka incelemesi yer alıyor.
Hong Kong Veri Koruma Otoritesi’nden WhatsApp uyarısı
- Hong Kong Kişisel Verileri Koruma Otoritesi toplam beş sosyal yardım kuruluşu ve okuldan aldığı yaklaşık 900 kullanıcı verisinin hakclendiği yönündeki bildirimlerin ardından WhatsApp kullanımına ilişkin önlem alınmasına yönelik bir çağrıda bulundu. Açıklamada, iki faktörlü kimlik doğrulamanın etkinleştirilmesi ve istenmeyen kısa mesajlar alınırken dikkatli olunması da dahil olmak üzere çeşitli önlemler alınması tavsiye ediliyor.
Belçika Veri Koruma Otoritesi Çerez Kontrol Listesi yayınladı
- Belçika Veri Koruma Otoritesi APD, üçüncü taraf çerezlerin ve kullanıcı izleme mekanizmalarının doğru şekilde uygulanması ve kullanılmasına yönelik kontrol listesi yayınladı. Yalnızca kesinlikle gerekli olan çerezlerin haricindeki diğer tüm çerez kategorilerinin yalnızca kullanıcının önceden rıza vermesi durumunda yerleştirilebileceğini belirten APD, çerez kullanımına ilişkin rızanın ücretsiz, spesifik ve bilgilendirilmiş bir rıza olması gerektiğine dikkat çekti.
Tags
Yazar Hakkında
