Kasım 2023 Bülteni
ISACA İSTANBUL CHAPTER Veri Koruma Bülteni
Yaptırımlar
ICO’dan yasadışı doğrudan pazarlama nedeniyle 170.000 £ tutarında toplam üç para cezası
- Birleşik Krallık Bilgi Komiserliği ICO, yasa dışı doğrudan pazarlama faaliyetleri nedeniyle finansal hizmetler sunan üç şirkete toplamda 170.000 £ para cezası uyguladığını duyurdu. Komiserlik soruşturma başkanı Andy Curry, İzinsiz arama ve ileti gönderilmesi faaliyetlerini kapsayan hukuka aykırı uygulamaların alıcı taraflarda ciddi zararlara yol açabileceğini belirterek izinsiz pazarlama çağrılarının azaltılmasının önemini vurguladı.
CNIL, çalışan izleme uygulamaları nedeniyle toplamda 97.000 € ceza verdiğini duyurdu
- Fransa Veri Koruma Otoritesi CNIL, son aylarda özel ve kamu kuruluşlarına çalışanların takip ve gözetimi, veri minimizasyonu ve CNIL’ın taleplerini yanıtsız bırakma gibi nedenlerden kaynaklanan toplamda 97.000 € tutarında 10 yaptırım uyguladığını duyurdu. Yaptırımların nedenleri arasında çalışanların mola zamanlarında durdurma imkanı olmaksızın coğrafi konum verilerinin sürekli takip kaydedilmesi, çalışanların sürekli olarak video gözetimine tabi tutulması gibi aşırı müdahaleci eylemler yer alıyor.
Rusya’dan Google’a 15 milyon RUB para cezası
- Associated Press haberine göre, bir Moskova mahkemesi, Rus kullanıcıların verilerini Rusya içindeki sunucularda saklamayı reddettiği iddiasıyla Google’a 15 milyon RUB para cezası verdi. Mahkemeler daha önce Ağustos 2021 ve Haziran 2022’de Google’a Rus kullanıcılarının kişisel verilerini saklamadığı için para cezası vermişti.
PDBC gizlilik güvenliği ihlalleri iddiasıyla iki şirkete para cezası verdi
- Singapur Veri Koruma Otoritesi PDBC tüketicilerin kişisel verileri üzerinde yeterli korumayı sağlayamadıkları gerekçesiyle iki şirkete para cezası verdi. Tokyo Century Leasing, sahip olduğu veya kontrolü altındaki bireylerin kişisel verilerini korumak için makul güvenlik düzenlemelerini hayata geçirmemesi nedeniyle 82.000 SGD, Ascentis ise sahip olduğu veya kontrolü altındaki bireylerin kişisel verilerini korumak için makul güvenlik düzenlemelerini hayata geçirmemesi nedeniyle 10.000 SGD para cezasına çarptırıldı.
Veri İhlalleri
Vava Cars Turkey Otomotiv Anonim Şirketi veri ihlali bildirimi yayınladı
- Vava Cars Turkey Otomotiv A.Ş tarafından Kurul’a yapılan veri ihlal bildirimine göre, ihlalin bir dahili kullanıcının kimlik bilgilerinin ele geçirilmesi ve uygulama verilerine erişmek için kullanılması sonucunda gerçekleştiğini, ihlalden etkilenen kişisel veri kategorilerinin; isim, adres, telefon numarası, e-posta, IBAN, banka bilgileri fiyat, VIN, plaka numarası ve araç bilgileri dahil olmak üzere araba satın alırken sağlanan müşteri verileri, randevu için sağlanan müşteri verileri, bayi verileri, depo verileri ve ihale detayları verilerinin etkilendiğini belirtti.
Demirkol Otel İşletmeciliği Turizm ve Tic. AŞ veri ihlali bildirimi yayınladı
- Veri sorumlusu sıfatını haiz olan Demirkol Otel İşletmeciliği Turizm ve Tic. AŞ tarafından Kurul’a iletilen veri ihlal bildiriminde ihlalin, fidye yazılımı saldırısıyla 04.11.2023 tarihinde gerçekleştiği, ihlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlen, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile ırk ve etnik köken bilgileri verilerinin etkilendiği belirtildi.
Kaymek Kayseri Mesleki Eğitim ve Kültür Anonim Şirketi veri ihlali bildirimi yayınladı
- Veri sorumlusu Kaymek Kayseri Mesleki Eğitim ve Kültür AŞ tarafından Kurula iletilen veri ihlal bildirimine göre; ihlalin e-posta üzerinden gelen linke tıklanmasıyla gerçekleştiği ve Bilgi Teknolojileri ve İletişim Kurumu Bilgi Teknolojileri Dairesi Başkanlığı tarafından veri sorumlusuna gönderilen yazı ile tespit edildiği, ihlalden etkilenen öğrencilere ait kimlik, iletişim, lokasyon, özlük ve ırk ve etnik köken bilgilerinin etkilendiği ve ihlalden etkilenen kişi sayısının 7186 olduğu belirtildi
Türkiye Ziraat Odaları Birliği veri ihlali bildirimi yayınladı
- Veri sorumlusu Türkiye Ziraat Odaları Birliği tarafından Kurula iletilen kişisel veri ihlali bildirimine göre; ihlalin Ziraat Odaları Bilgi Sisteminde (ZOBİS) kayıtlı bir kullanıcının hesap bilgileri kullanılarak farklı IP adreslerinden MERNİS web servis sorgulamaları gerçekleştirilmesi üzerine gerçekleştiği, sorgulamada kullanılan TC kimlik numaralarının ZOBİS veri tabanında tutulmayan numaralar olduğu, ihlalden etkilenen ilgili kişi grubunun henüz tespit edilememekle birlikte 162.000 kişiye ait kimlik verilerinin etkilendiği bilgilerine yer verilmiştir.
Güncel Haberler
Kişisel Verileri Koruma Kurumu SMS ile doğrulama duyurusu yayınladı
- Kişisel Verileri Koruma Kurulu (“Kurul”), mağazalarda alışveriş sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin kamuoyu duyurusu yayınladı. Kurul duyurusunda mağazalarda gerçekleşen alışverişler sırasında kişilere SMS ile doğrulama kodu gönderildiği, SMS gönderimi öncesinde herhangi bir aydınlatma yapılmadığı ve söz konusu kodun belirtilenin aksine kişilere ticari ileti gönderilmek için kullanıldığını belirterek ilgili süreçlerde veri sorumlularınca alınması gereken önlemlere yer verdi.
CNIL, API veri paylaşımı kılavuzunu yayınladı
- Fransa Veri Koruma Otoritesi CNIL, uygulama programlama arayüzü veri paylaşımına yönelik öneriler yayınladı. Kılavuzda veri sahiplerinin API kullanılarak paylaşılan tüm verilerin güvenliğini sağlaması ve hassas verilerin paylaşılmasıyla ilişkili riskleri ortadan kaldırması gerektiği belirtiliyor.
Google, 2024’te üçüncü taraf çerezlerini engelleyeceğini duyurduk
- MediaPost haberine göre, Google, Birleşik Krallık Rekabet ve Piyasalar Otoritesi ile yapılan 2022 planının bir parçası olarak Ocak 2024’ten itibaren Chrome tarayıcısındaki üçüncü taraf çerezlerini kullanımdan kaldıracak. Bu hareketin amacı, siteler arası takibi azaltarak tüketici gizliliğini korumaktır. Şirket geçiş gerçekleşirken diğer tarayıcılar için geçici çözümler bulunacağını duyurdu.
AEPD biyometrik veri kullanımına ilişkin kılavuz yayınladı
- İspanya Veri Koruma Otoritesi AEPD, biyometrik verilerin iş ve kişisel amaçlarla erişim kontrolü amacıyla kullanılmasına ilişkin kılavuz yayınladı. Kılavuzda biyometrik verinin hem kişileri tanımlama hem de kimlik doğrulama amacıyla işlenmesini yüksek riskli işlemler olarak tanımlanırken ilgili kişinin razı olsun olmasın bu verilerin işlenmesine uygunluk, gereklilik ve orantılılık analizine tabi tutulmasına ilişkin esaslara yer verildiği görülüyor.
ICO, üçüncü taraf çerez uyarısı yayınladı
- Birleşik Krallık Bilgi Komiserliği Ofisi ICO, üçüncü taraf çerez uygulamalarını iyileştirmek veya yaptırım önlemleriyle yüzleşmek için ülkenin en çok ziyaret edilen web sitelerine yazılı uyarılar gönderdiğini duyurdu. ICO, şirket adlarını veya yaklaşık olarak kaç bildirimin tebliğ edildiğini belirtmemekle birlikte bildirimlerden sonraki 30 gün içinde uygulamaların değiştirilmesini beklediğini duyurdu.
Güney Kore PIPA değişikliklerini duyurdu
- Güney Kore Kişisel Bilgilerin Korunması Komitesi PIPA, Kişisel Bilgilerin Korunması Kanunu’nda yapılması önerilen birkaç değişikliğin 23 Kasım ile 2 Ocak 2024 tarihleri arasında yayınlanacağını duyurdu. Bunlar arasında, otomatik kararlara maruz kalan kişiler için veri haklarının belirlenmesi, veri koruma görevlilerinin rollerinin ana hatlarıyla belirtilmesi ve Kamu sektöründe kullanılan kişisel bilgilere yönelik korumaların değerlendirilmesine yönelik prosedürler bulunuyor.
Danimarka Veri Koruma Otoritesi DPA, gizlilik koruma kataloğunu yayınladı
- Danimarka Veri Koruma Otoritesi Datatilsynet, kuruluşların karşılaştığı yaygın güvenlik risklerine çözüm sağlamak amacıyla veri güvenliği önlemleri kataloğu yayınladı. Katalogda, Datatilsynet’in denetimlerden edindiği deneyimler, bildirilen kişisel veri güvenliği ihlalleri ve daha önceki Avrupa Veri Koruma Kurulu kılavuzlarından örnekler yer alıyor.