Nisan 2023 Bülteni
ISACA İSTANBUL CHAPTER Veri Koruma Bülteni
Yaptırımlar
ICO’dan çocukların verilerini kötüye kullanan TikTok’a 12,7 milyon £ ceza
- Birleşik Krallık Bilgi Komisyonu Ofisi ICO, TikTok’a çocukların kişisel verilerini kötüye kullandığı gerekçesiyle 12,7 milyon £ para cezası verdi. Kararın ayrıntılarına bakıldığında yaptırımın nedenleri arasında TikTok’un 13 yaşın altındaki çocukların kişisel verilerini ebeveynlerin izni olmaksızın işlemesi ve platformu kullanan kişilere kişisel verilerinin nasıl toplandığı, kullanıldığı ve paylaşıldığı hakkında şeffaf ve açık bir şekilde bilgilendirme yapmaması yer alıyor.
Kişisel Verileri Koruma Kurulu 40 adet yeni karar yayınladı
- Kişisel Verileri Koruma Kurulu, içerisinde reklam çerezleri ve yurt dışı veri aktarımı dahil olmak üzere birçok spesifik konuya değindiği 40 adet karar özeti yayınladı. Yayınlanan kararlar arasında finans, sağlık, e-ticaret gibi birçok sektörde faaliyet gösteren veri sorumluları hakkında uygulanan yaptırımlar yer alıyor. Kurul’un yürüttüğü incelemeler neticesinde hukuka aykırılık tespit ettiği kimi durumlar için idari para cezası ve talimatlandırma gibi yaptırımlar uyguladığı kimi kararlarda ise yapılacak bir işlem olmadığı yönünde kararlar verdiği görülüyor.
İtalya Veri Koruma Otoritesi bir pazarlama şirketine 300.000 € para cezası verdi
- İtalyan Veri Koruma Otoritesi Garante, kullanıcıların kişisel verilerini pazarlama amacıyla yasa dışı bir şekilde işlemesi nedeniyle bir dijital pazarlama şirketine 300.000 € para cezası verdi. Karara göre şirket, çevrimiçi portallarında kullanıcıları kişisel verilerinin pazarlama amacıyla işlenmesine ve her zaman aynı amaç için üçüncü taraflara iletilmesine izin vermeye ikna etmek amacıyla dark pattern(karanlık modeller) kullanıyordu. Garante, şirketin tanıtım mesajları göndermek için alınan onayı da gösteremediğini söyledi.
ICO, bir çevrimiçi işe alım firmasına 130.000 £ para cezası verdi
- Birleşik Krallık Bilgi Komisyonu Ofisi ICO, Ağustos 2019 ile Ağustos 2020 arasında 437.324 kişiye 107 milyon spam e-posta göndererek kişileri istenmeyen e-posta bombardımanına tuttuğu gerekçesiyle Join The Triboo Limited’e 130.000£ para verdi.
ICO, bireylerin telefon görüşmelerini bilgileri olmaksızın kaydettiği için polise kınama cezası verdi
- Birleşik Krallık Bilgi Komisyonu Ofisi ICO, Surrey ve Sussex polisine bireylerin bilgisi olmaksızın 200.000’den fazla telefon görüşmesini kaydeden bir uygulamayı kullandıkları için kınama cezası verdi. ICO, uygulamanın 1.015 personelin iş telefonlarına indirildiğini ve söz konusu veri işleme faaliyetinin işlenmesinin “haksız ve yasa dışı” olduğunu belirterek, para cezalarının kamu hizmetlerine erişenler üzerindeki etkisini azaltmayı ve ilk etapta meydana gelebilecek zararları önlemek için kamu makamlarının daha fazla veri koruma uyumluluğunu teşvik etmek amacıyla 1 milyon £ para cezası vermek yerine kınama cezası verilmesinin tercih edildiğini vurguladı.
Veri İhlalleri
Beytıp Sağlık Hizmetleri Ltd. Şti. veri ihlal bildirimi yayınladı
- Beytıp Sağlık Hizmetleri Ltd. Şti. tarafındanKişisel Verileri Koruma Kurulu’na yapılan veri ihlal bildirimine göre, tıp merkezi bünyesinde işlem gören hastalar ve yakınları ile ilgili tıbbi hususlardaki tüm işlemlere ilişkin kayıtların tutulduğu programa giriş sağlanan bazı bilgisayarların açılmadığı ve bu bilgisayarların bağlı olduğu ağ ve bilişim sistemine kimliği belirsiz kişilerce izinsiz olarak girilmesi üzerine gerçekleşen ihlalde tahmini olarak 5000 kişiye ait kimlik, iletişim, özlük, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, finans, pazarlama, görsel ve işitsel kayıtlar, ırk ve etnik köken ve sağlık bilgileri etkilendi.
Amerikan Barolar Birliği 1,4 milyon üyenin etkilendiği bir veri ihlali yaşadı
- Amerikan Barolar Birliği(ABA) 1.466.000 üyenin eski kimlik bilgilerini sızdıran büyük bir veri ihlali yaşadı. Birlik, 17 Mart 2023 tarihinde yetkililere ağlarına yetkisiz bir üçün taraf erişimi tespit ettiğini bildirdi. Açıklamaya göre, 2018’den önceki eski ABA web sitesinde veya 2018’den beri “ABA Kariyer Merkezinde” kullanılan kullanıcı adları ve hashed ve salted şifreler açığa çıkarıldı. Birlik ayrıca, yaklaşık 1,4 milyon potansiyel veri ihlali kurbanını bilgilendirerek, sızan kullanıcı kimlik bilgilerini yeniden kullanan diğer siteler de dahil olmak üzere onları oturum açma bilgilerini değiştirmeye çağırdı.
Hyundai, İtalyan ve Fransız araç sahiplerini etkileyen bir veri ihlali yaşadığını duyurdu
- Hyundai, İtalyan ve Fransız otomobil sahiplerini ve test sürüş rezervasyonu yaptıran kişileri etkileyen bir veri ihlali yaşadığını açıkladı. “HaveIBeenPwned” yaratıcısı Troy Hunt tarafından paylaşılan veri ihlal bildirim metnine göre, ihlal nedeniyle e-posta adresi, fiziksel adres, telefon numarası ve araç şasi numarası şeklindeki veriler ihlale uğradı. Henüz ihlalden kaç Hyundai müşterisinin etkilendiği, ağ ihlalinin ne kadar sürdüğü ve başka hangi ülkelerin etkilenebileceğinin net olarak belirlenmediği görülüyor.
Güncel Haberler
Meta Türkiye seçimlerine hazırlanıyor
- Meta, 14 Mayıs Türkiye seçimlerinin güvenli ve emniyetli şekilde gerçekleşmesine yardımcı olmak için yanlış bilgilerin yayılmasını azaltmak ve uygulamalarındaki zararlı içerikleri kaldırmak için insanlara, ortaklıklara ve teknolojiye yatırım yaptıklarını duyuran bir bildirim yayınladı. Bildiride Meta’nın seçime yaklaşırken potansiyel tehditleri gerçek zamanlı olarak belirlemek ve daha hızlı müdahale edebilmek için bünyesindeki mühendis, hukukçu, araştırmacı ve analiz uzmanlarının bir araya getirildiği Seçim Operasyon Merkezini etkinleştireceği belirtildi.
İrlanda çocukların kişisel verilerine yönelik yeni kılavuzlar yayınladı
- İrlanda Veri Koruma Komisyonu, GDPR kapsamında çocukların veri koruma hakları konusunda ebeveynlere yönelik yeni kılavuzlar yayınladı. Ebeveynlerin çocuklarının haklarını anlamalar ve bu hakların geçerli olduğu tipik durumlarda ortaya çıkabilecek soruları yanıtlamalarına yardımcı olmak amacıyla yayımlanan kılavuzlarda veri koruma ile ilgili temel bilgiler, ebeveyn rızası, çocukların hakları ve kullanımıyla ilgili başlıklar alıyor.
Vietnam’dan Kişisel Verilerin Korunmasına İlişkin Yeni Kararname Yayınlandı
- Vietnam Hükümeti, Kişisel Verilerin Korunmasına ilişkin bir kararname yayınladı. Kararnamede veri toplama, işleme ve depolama ile ilgili ilke kararlar yer aldığı gibi kuruluşların GDPR ile paralel şekilde, bir veri ihlalini tespit ettikten sonra 72 saat içinde ilgili kuruma başvuru yapmaları zorunluluğu getirildi. 1 Temmuz’dan itibaren geçerli olacak Kararname’ye uyum sürecinde KOBİ’ler ve yeni kurulan şirketler için iki yıllık bir muafiyet süreci tanındı.
ICO’da üretici yapay zeka geliştirici ve kullanıcılarına uyarı
- Birleşik Krallık Bilgi Komisyonu Ofisi ICO, geliştirici ve kullanıcıların üretken yapay zekayı (Generative AI) kullanırken sormaları gereken sekiz soruyu belirttiği bir içerik yayınladı. ICO risk icra direktörü tarafından yayınlanan yazıda üretken yapay zeka geliştiren ve kullanan kuruluşların veri koruma yükümlülüklerini en baştan dikkate alması gerektiği ve privacy by design ve privacy by default ilkelerine uygun yaklaşımların belirlenmesinin bir zorunluluk olduğu belirtildi.
ChatGPT İtalya’da yeniden erişilebilir hale geldi
- İtalyan Veri Koruma Otoritesi Garante, geçtiğimiz ay veri gizliliği ve güvenlikten kaynaklı endişeler nedeniyle ChatGPT’yi geçici olarak yasakladığını duyurmuştu. Garante, ardından ChatGPT’nin tekrar kullanıma açılabilmesi için OpenAI tarafından yerine getirilmesi gerekenleri duyurdu ve şirkete bu gereksinimler için 30 Nisan’a kadar süre verdi. OpenAI’ın buna karşılık bir dizi gizlilik denetimini uygulamaya koyduğunu duyurması üzerine yasaklama emri kaldırılarak ChatGPT’nin İtalya’da yeniden erişilebilir hale geldi.
İspanya, Avrupa Veri Koruma Kurulu’nu ChatGPT’yi incelemeye davet etti
- ChatGPT hakkında başlatılan incelemelerin sonu gelmeyecek gibi görünüyor. Reuters haberine göre, İspanya Veri Koruma Otoritesi, Avrupa Veri Koruma Kurulu’nu (EDPB) ChatGPT’nin Avrupa Birliği Genel Veri Koruma Tüzüğü GDPR’a uygunluğunu resmi olarak incelemeye davet etti.
Alman düzenleyiciler ChatGPT’nin GDPR uyumluluğu hakkında soruşturma başlattı
- Cointelegraph’ın haberine göre, Almanya’daki düzenleyiciler OpenAI’ın GDPR’a uyumluluğu hakkında bir soruşturma başlattı. Habere göre Almanya’nın kuzeyindeki Schleswig-Holstein eyaleti komiseri Marit Hansen, Almanya’daki düzenleyicilerin OpenAI tarafından bir veri koruma etki değerlendirmesi yapılıp yapılmadığını ve veri koruma risklerinin kontrol altında olup olmadığını bilmek istediğini söyledi. Öncesinde ise Alman Hükümeti Federal Veri Koruma ve Bilgi Özgürlüğü Komiseri Ulrich Kelber, Handelsblatt gazetesine yaptığı açıklamada Almanya’nın ChatGPT’yi gerekirse prensip olarak engelleyebileceğini duyurmuştu.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi veriye dayalı siber güvenlik kılavuzunu güncelliyor
- Birleşik Krallık Ulusal Siber Güvenlik Merkezi NSCS, veriye dayalı siber güvenlik uygulamalarının geliştirilmesine yönelik bir kılavuz yayınladı. Veriye Dayalı Siber başlığıyla yayımlanan içerikte veri bilimi ve yapay zekadaki hızlı gelişmeler nedeniyle siber güvenlik manzarasının daha karmaşık bir hale geldiği ve bu zorlukların ışığında en güven verici yaklaşımın ‘veriye dayalı siber’ (DDC) modeli olduğu belirtildi.
New York Başsavcılığı işletmeler için veri güvenliği kılavuzu yayınladı
- New York Başsavcısı Letitia James, tüketicilerin kişisel bilgilerini daha iyi korumasına ve işletmelerin veri ihlallerini önlemesine yardımcı olmak için bir kılavuz yayınladı. Kılavuzda yer alan ipuçları arasında güvenli kimlik doğrulama kontrollerinin sürdürülmesi, hassas müşteri bilgilerinin şifrelenmesi, üçüncü taraf hizmet sağlayıcıların makul güvenlik önlemleri aldığından emin olunması gibi başlıklar yer alıyor.
IAPP Gizlilik ve Tüketici Güveni raporu yayınladı
- IAPP, ilk Gizlilik ve Tüketici Güven Raporundan önemli veri noktalarını sunan bir infografik yayınladı. İnfografik, kaç tüketicinin çevrimiçi gizlilikleri konusunda endişe duyduğu, şirketlerin kişisel verilerini korumak için ne yaptığı, bu konuları ne kadar iyi anladıkları ve bir veri ihlalinin ardından kaç kişinin bir şirkete sadık kaldığı da dahil olmak üzere raporun rakamlarına ve istatistiklerine ilişkin üst düzey bir genel bakış sunuyor.
İrlanda Veri Koruma Otoritesi veri işleme faaliyetleri kaydına ilişkin kılavuz yayınladı
- İrlanda Veri Koruma Komisyonu, veri sorumlularına veri işleme faaliyetlerinin kaydını tutmayı gerektiren GDPR 30. maddesi ile uyumlu olmalarına yardımcı olmak için bir kılavuz not yayınladı. Komisyon duyurusuna göre, iyi hazırlanmış bir Veri İşleme Faaliyet Kaydı (RoPA) kuruluşun bünyesinde gerçekleşen tüm veri işleme faaliyetlerinin farkında olduğunu ve bu faaliyetlerin amaçlarını dikkate aldığını gösterecektir.
EDPB, KOBİ’lere yönelik veri koruma kılavuzu yayınladı
- Avrupa Veri Koruma Kurulu EDPB, küçük ve orta işletme sahiplerine veri koruma kanunları ile uyumlu hale gelme yolunda yardımcı olabilmek amacıyla bir veri işleme kılavuzu yayınladı. Kılavuzun GDPR hakkında farkındalık yaratmak ve KOBİ’lere GDPR uyumluluğu hakkında erişilebilir ve kolay anlaşılır bir formatta pratik bilgiler sağlamayı amaçladığı belirtildi.
Isaca’dan Haberler
- Isaca İstanbul Chapter’ın “Veri Merkezli Dünyada Mahremiyet ve Veri Güvenliği İçin Farklılaşan ve Birleşen Yaklaşımlar” isimli ilk Privacy Talks etkinliği 7 Nisan 2023 tarihinde online olarak gerçekleştirildi. Veri güvenliği, veri koruma ve gizlilik arasındaki farklılaşan ve örtüşen noktaların uygulamadaki yansımaları ile mevzuata uyum konusundaki temel yaklaşımların değerlendirildiği etkinliğimizi Isaca Istanbul Chapter Youtube kanalı üzerinden izleyebilirsiniz.