Mart 2023 Bülteni
ISACA İSTANBUL CHAPTER KİŞİSEL VERİLERİN KORUNMASI HAKKINDA BÜLTEN
Yaptırımlar
Kişisel Verileri Koruma Kurulu’ndan Whatsapp ve Meta’ya 2 milyon 655’er bin TL ceza
- Kişisel Verileri Koruma Kurulu Veri Sorumluları Sicili(VERBİS) kayıt yükümlülüğünü yerine getirmemesi nedeniyle WhatsApp ve Meta’ya ayrı ayrı 2 milyon 655’er bin TL para cezası verdi. İlgili karar kurum internet sitesi üzerinde henüz yayımlanmış değil. Kurum’un her iki şirket için de üst sınırın altında ceza uygulamış olması dikkate alındığında VERBİS kayıt yükümlülüğünü yerine getirmeyen diğer veri sorumluları için uygulayacağı yaptırımlar merak konusu olmaya devam ediyor.
Kişisel Verileri Koruma Kurulu TikTok’a 1,7 milyon TL para cezası verdi
- Kişisel Verileri Koruma Kurulu, TikTok hakkındaki muhtelif haber ve şikayetler üzerine kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik tedbirleri almaması nedeniyle şirkete 1,7 milyon TL idari para cezası verdi. Cezanın gerekçelerinden birini de 2021 yılı ocak ayında yapılan gizlilik güncellemesi öncesinde uygulamayı kullanan 13 yaş altı çocukların kişisel bilgilerinin görüntülenebilmesi ve uygun ebeveyn izni olmadan çocuklar hakkında veri toplanmaya devam edilmesi oluşturuyor.
FTC, BetterHelp’e 7,8 milyon $ para ödeme emri verdi
- ABD Federal Ticaret Komisyonu (FTC), reklam amaçlı uygunsuz veri paylaşımı iddiasıyla çevrimiçi danışmanlık hizmeti BetterHelp’e tüketicilere 7,8 milyon $ ödenmesi konusunda emir verdiğini duyurdu. Komisyon aynı zamanda şirketin hizmetin üçüncü taraf reklam kampanyaları için rıza dışı kullanıma yol açan daha fazla veri paylaşımı yapmasını yasakladı. BetterHelp’in zihinsel sağlık verilerini Facebook ve Snapchat dahil olmak üzere çeşitli platformlara gönderdiği iddia ediliyor.
CNIL, kiralık scooter şirketi Cityscoot’a 125.000 € para cezası verdi
- Fransa veri koruma otoritesi CNIL, kiralık scooter şirketi Cityscoot’u araçların coğrafi konum verilerini topladığı ve kaydını tuttuğu için 125.000 € para cezasına çarptırdı. CNIL, Cityscoot’un AB Genel Veri Koruma Yönetmeliği kapsamındaki veri minimizasyonu ve sözleşmeden doğan çerçeve yükümlülüklerine uymadığını ve ayrıca kullanıcıları bilgilendirmemek ve verilere erişim için onay almamakla Fransız Veri Koruma Yasasını ihlal ettiğini söyledi.
Finlandiya Veri Koruma Ombudsmanı Ofisi’nden 440.000 € para cezası
- Finlandiya Veri Koruma Otoritesi, Finlandiya tüketici kredisi şirketi Suomen Asiakastieto’ya 440.000 € para cezası verdi. Otorite, şirkete nihai kararlar dayalı temerrüt girişlerini kaydetme konusundaki uygulamaların düzeltilmesi gerektiğini belirterek bu tür uygulamalardan kaynaklanan tüm yanlış ödeme temerrüt girişlerini silmesini emretti.
Veri İhlalleri
Akbank’tan veri ihlal bildirimi
- Akbank tarafından Kişisel Verileri Koruma Kurumu’na yapılan veri ihlal bildirimine göre, şirket müşterilerinin hesap açılış işlemleri için oluşturulan bir projenin kod yazımı sırasında mail adresi değişkeninin dinamik yazılması gerekirken statik yazılması nedeniyle bazı müşterilere ait elektronik hesap cüzdanları müşteriler yerine hataen banka müşterisi olan 20 tüzel kişi müşteriye gönderildi. İhlalden 5.847 müşterinin etkilendiği belirtildi.
Getir veri ihlal bildirimi yayınladı
- Getir veri ihlal bildiriminde, üst yönetimine ulaşan bir e-postada üçüncü bir şahsın bünyesindeki BiTaksi kullanıcılarına ait bazı kişisel verileri elinde buldurduğunu iddia ettiğini, ardından iki ayrı e-posta ile darkwebte Getir hakkında kişisel verilerin ihlale uğradığı iddialarına yer verildiğini ve kişisel verilerin paylaşıldığını belirtti. Bildirimde ihlalden tahminen 5098 kişinin etkilenmiş olabileceği söyleniyor.
Sahibinden 71.422 kişiyi etkileyen ihlale ilişkin bildirim yayınladı
- Sahibinden Bilgi Teknolojileri Paz. ve Tic. AŞ (Sahibinden), Sahibinden mağaza verilerinin Sahibinden’in internet sitesi ve mobil uygulamasındaki ara yüzlerin çalışması için gerekli web service içeriklerinin kopyalanması suretiyle aralarında şahıs şirketlerinin de bulunduğu kurumsal kullanıcılarının etkilendiği bir veri ihlali yaşandığını duyurdu.
Marifet Saatçilik veri ihlal bildirimi yayınladı
- Marifet Saatçilik Kuym. Teks. Tur. Gıda İnş. Taah. San. ve Tic. Ltd. Şti. tarafından Kişisel Verileri Koruma Kurumu’na veri ihlal bildirimi yapıldı. Bildirime göre ihlal, şirketin müşterilerine mesaj göndermek için kullandığı uygulamaya ait bilgilerin yetkisiz kişiler tarafından ele geçirilmesi neticesinde 1.513.947 kişiye SMS gönderilmesiyle gerçekleşti.
Güncel Haberler
Kişisel Verileri Koruma Kurumu seçim faaliyetleri kapsamında işlenen kişisel veriler hakkında duyuru yayınladı
- Kişisel Verileri Koruma Kurumu, siyasi partilerin başta 2820 sayılı Kanun olmak üzere ilgili kanunlar gereğince kuruluş, üyelik, seçimlerde aday belirleme, yetkili organların seçimi ve bunların ilgili mercilere bildirimi vb. faaliyetleri kapsamında işlediği kişisel veriler bakımından veri sorumlusu olduğunu hatırlatarak, seçim faaliyetleri kapsamında siyasi partiler ve bağımsız adaylar tarafından gerçekleştirilecek veri işleme faaliyetlerinde uyulması gereken esaslara ilişkin bir bilgi notu yayınladı.
Kişisel Verileri Koruma Kurumu afet durumlarında kişisel verilerin korunmasına yönelik duyuru yayınladı
- Kişisel Verileri Koruma Kurumu duyurusunda afet ve acil durumlar karşısında bilgi edinmek ve doğru yönlendirme sağlamanın son derece önemli olduğunu ve bu durumda kişisel verilerin korunması hususunun göz önünde bulundurulması gerektiğini belirtti. Kişisel verilerin gelişigüzel paylaşılmasının manevi ve maddi açıdan telafisi zor zararlara neden olabileceğini hatırlatan Kurum, dikkatli olunması gereken hususları sıraladı.
Kurum’dan vekaleten yapılacak şikayetlere ilişkin duyuru
- Kişisel Verileri Koruma Kurumu, Kurul’a vekaleten iletilecek şikayetlerin daha hızlı ve etkin şekilde yapılabilmesi için 27.03.2023 tarihi itibariyle Kurum sitesinde yer alan “Şikâyet Modülü” sisteminin avukatların da kullanabileceği şekilde güncellendiğini duyurdu. Değişiklik öncesinde bireysel olarak yapılan şikayetler modül üzerinden yapılabilirken vekaleten yapılan şikayetler ancak posta veya kargo yoluyla iletilebiliyordu.
ISO, veri anonimleştirme için yeni standart ISO/IEC 27559:2022’yi yayınladı
- ISO, yeniden veri sorumlusu ve veri işleyen kamu özel şirketler, devlet kurumları ve kar amacı gütmeyen kuruluşlar dahil olmak üzere her tür ve büyüklükteki kuruluş için geçerli olacak düzeyde geçerli olacak anonimleştirme standardını yayınladı.
TikTok ABD’de ter dökmeye devam ediyor
- Çin merkezli sosyal medya platformu TikTok ceo’su Shou Zi Chew, ABD Temsilciler Meclisi Enerji ve Ticaret Komitesi tarafından düzenlenen oturumda milletvekillerinin sorularını yanıtladı. Yaklaşık 5,5 saat süren oturumda hem Cumhuriyetçi hem Demokrat milletvekillerinin sorularını yanıtlayan Chew, TikTok’un ana şirketi ByteDance’in Çin hükümeti tarafından kontrol edilmediğini ve ABD’li vatandaşların verilerinin Çin Komünist Partisi(ÇKP) ile paylaşılmadığını öne sürdü.
YouTube çocukların görüntüleme verilerini toplamakla suçlanıyor
- BBC News haberine göre, Birleşik Krallıkta bir vatandaş YouTube’un 13 yaş altı çocukların hangi videoları izlediği, konumları ve hangi cihazı kullandıklarına ilişkin bilgileri topladığı ve sakladığını iddia ederek şikâyette bulundu. Şirketin Youtube Kids adlı ayrı bir çocuk uygulamasının yanı sıra ebeveyn izni gerektiren denetimli deneyim sunulduğu yönündeki savunmasına karşılık çocukların içerikleri aile hesapları üzerinden toplanmaya devam edildiği iddia ediliyor.
Tarihi Facebook gizlilik anlaşmasında ön onay verildi
- Davacı tarafın hukuk firması tarafından yapılan açıklamaya göre, Kaliforniya Kuzey Bölgesi Bölge Mahkemesi Yargıç Vince Chhabria, Facebook’un 2018 Cambridge Analytica iddialarıyla ilgili bir toplu davada 725 milyon $ tutarındaki uzlaşmasına ön onay verdi.
Birleşik Krallık Yapay Zekâ ve Veri Koruma Rehberi güncellendi
- Birleşik Krallık Veri Koruma Otoritesi ICO, rehberin Birleşik Krallık endüstrisinden yapay zekada adalet gerekliliklerini açıklığa kavuşturmak için gelen taleplerin ardından güncellendiğini duyurdu. ICO duyurusunda, yapay zekâ kılavuzunun kullanıcı dostu olması, kuruluşların uyum yükünü azaltması ve yapay zeka düzenlemesi ve veri koruma ile ilgili yaklaşan değişiklikleri yansıtmasını sağlamaya devam edeceklerini ekledi.
ChatGPT kullanıcıların ödeme bilgileri ve konuşma başlıklarını sızdırdı
- BBC haberine göre, son zamanların en popüler ismi ChatGPT’nin bir arızası bazı kullanıcıların diğer kullanıcıların konuşmalarının başlıklarını görmelerine izin verdi. Kullanıcıların sosyal medya siteleri Reddit ve Twitter’da kendilerine ait olmadığını söyledikleri sohbet geçmişlerinin görüntülerini paylaşmaları üzerine OpenAI bu durumu araştırmak için botu bir süre çevrimdışı tuttu. Şirket tarafından yapılan açıklamaya göre hata nedeniyle kullanıcıların diğer kullanıcılara ait kredi kartı numarasının son dört hanesi ve son kullanma tarihi bilgileri de görünür durumdaydı.
FTC, Epic Games ile vardığı 520 milyon $ anlaşmayı kesinleştirdi.
- ABD Federal Ticaret Komisyonu FTC, Çocukların Çevrimiçi Gizliliğini Koruma Yasası ihlalleri iddiasıyla Epic Games ile yaptığı 520 milyon $ tutarındaki anlaşmayı kesinleştirdi. Uzlaşma, FTC’nin 13 yaşın altındaki kullanıcıların rızası olmadan veri toplaması ve Fortnite video oyunu oyuncularına zarar verdiği kanıtlanan yasa dışı iletişim iddialarını kapsıyor.
Beyaz saray Ulusal Siber Güvenlik stratejisini duyurdu
- ABD Başkanı Joe Biden, tüm Amerikalılar için güvenli ve emniyetli bir dijital ekosistemin tüm faydalarını sağlamayı amaçlayan Ulusal Siber Güvenlik Stratejisini duyurdu. Strateji, “siber uzaydaki en yetenekli ve en iyi konumdaki aktörlerin dijital ekosistemin daha iyi koruyucuları olması gerektiği” çerçevesinde, “siber uzayı savunma sorumluluğunun dengelenmesi” çağrısında bulunuyor.