Ocak 2024 Bülteni
ISACA İSTANBUL CHAPTER Veri Koruma Bülteni
Yaptırımlar
CNIL, çalışanların gözetim ihlalleri nedeniyle Amazon’ 32 milyon € ceza verdi
- Fransız Veri Koruma Otoritesi CNIL, Amazon France Logistique’e işçilerin gözetimine ilişkin veri ihlalleri nedeniyle 32 € milyon para cezası verdiğini açıkladı. Yaptırım, çalışanların tarayıcılarının hareketsizlik süresini izleyen göstergeler üzerinden performans verilerinin toplanması, bu verileri uzun süre saklanması ve yeterli güvenlik önlemlerini sağlamadan kamera kaydı alınması gibi çalışan performanslarını ölçmek ve takip etmek için aşırı müdahaleci gözetim uygulamaları yer alıyor.
CNIL’den Yahoo’ya 10 milyon € para cezası
- Fransa Veri Koruma Otoritesi CNIL, çerezlerle ilgili gizlilik kurallarına uymaması nedeniyle Yahoo EMEA’ya 10 milyon € para cezası verdiğini duyurdu. Otorite’ye yapılan şikayetler üzerine başlatılan soruşturmada kullanıcıların cihazlarına herhangi bir onay alınmaksızın çerezler yerleştirildiği, kişilere ayarları yönetme seçeneği sunulmuş olmasına rağmen kullanıcıların tercihlerinin uygulanmadığının tespit edildiği belirtildi. Buna ek olarak yaptırımın nedenleri arasında kullanıcıların çerez onaylarını geri çekmek istediklerinde şirketin kendilerine sunduğu mesajlaşma servisine erişimi kaybedeceklerinin bildirilerek kişilere rızanın geri alma imkanının verilmemesi yer alıyor.
Belçika Veri Koruma Otoritesi veri yönetim şirketine 174.640 € para cezası verdi
- Belçika Veri Koruma Otoritesi, veri ve veri yönetimi konusunda uzmanlaşmış bir şirket olan Black Tiger Belgium’a GDPR’nin çeşitli ihlalleri nedeniyle toplam 174.640 € idari para cezası ve düzeltici tedbir uyguladığını duyurdu. Otorite kararında yaptırımın kişileri proaktif, bireysel ve şeffaf bir şekilde bilgilendirmeden, kişisel verilerini hukuka aykırı ve uygunsuz şekilde işlemesi ile kişilerin erişim haklarını uygulama taleplerine uygun şekilde cevap vermemek gibi eylemlerinden kaynaklanıyor.
Hollanda’dan kredi kartı şirketine 150.000 € para cezası
- Hollanda Veri Koruma Otoritesi AP, kredi kartı şirketi International Card Services’e GDPR ihlali nedeniyle 150.000 € para cezası verdiğini duyurdu. Yaptırımın gerekçeleri arasında şirketin kimlik tespiti doğrulaması sırasında müşterilerden isim, adres, telefon numaraları ve e-posta adresleri ile fotoğraf bilgilerini elde ettiği ancak yaklaşık 1,5 milyon müşteriye ait dijital kimlik kontrolü sistemini uygulamadan önce veri koruma etki değerlendirmesi (DPIA) yapmaması görülüyor.
ICO, yasa dışı pazarlama çağrıları nedeniyle iki ev tadilat şirketine para cezası verdi ICO, yasa dışı pazarlama çağrıları nedeniyle iki ev tadilat şirketine para cezası verdi
- Birleşik Krallık Bilgi Komiserliği Ofisi ICO, Birleşik Krallık’ın “aramayın” kaydındaki kişilere telefon görüşmesi pazarlayan iki şirkete toplam 250.000 GBP para cezası verdi. Bu şirketlerden Poxell’in tüketicinin izni olmadan 2,6 milyondan fazla pazarlama amaçlı telefon görüşmesi yaptığı, diğer şirket Skean Homes’ın ise Mart ve Mayıs 2022 arasında 600.000’den fazla istenmeyen pazarlama çağrısı yaptığı belirtildi.
İzlanda Veri Koruma Otoritesi eğitim teknolojisi cezalarında 12,8 milyon ISK verdi
- İzlanda Veri Koruma Otoritesi Persónuvernd, ilkokullarda veri işleme ihlalleri iddiası nedeniyle beş belediyeye toplam 12,8 milyon ISK para cezası verdiğini duyurdu. Yaptırımlar okulların Google Cloud’un eğitim teknolojisi hizmetlerini kullanarak öğrenci verilerini uygunsuz şekilde ve yerel makamların talimatları dışında işlemesi gerekçelerine dayanıyor.
Veri İhlalleri
Hong Kong Sosyal Refah Dairesi yanlışlıkla başvuranların isimlerini sızdırdı
- The Standard haberine göre, Hong Kong Sosyal Refah Dairesi, ağır engelli kişilere yönelik özel bakım sübvansiyonu planına başvuran 1.300 kişinin İngilizce isimlerini yanlışlıkla sızdırdı. Habere göre bu ihlal hükümet tarafından işletilen bir kuruluşta gerçekleşen, Hongkong Post’a kayıtlı 7.249 e-posta adresinin önceki yılın Ekim ayında üçüncü bir tarafça ele geçirilmesinden sonraki ikinci veri sızıntısı oldu.
HealthEC 4,5 milyon kişinin tıbbi bilgilerini sızdırdı
- Sağlık teknoloji şirketi HealthEC, 4 milyondan fazla kişinin hassas tıbbi bilgilerini etkileyen bir veri ihlaliyle karşı karşıya kaldığını duyurdu. İhlale uğrayan veriler arasında isimler, adresler, doğum tarihleri, sosyal güvenlik numaraları, vergi mükellefi kimlik numaraları, tıbbi bilgiler, sağlık sigortası bilgileri, fatura ve talep bilgileri gibi kişisel bilgilerin yer aldığı belirtildi.
Dirk Rossmann Mağazacılık Ltd. Şti. Veri İhlali yaşadı
- Veri sorumlusu Dirk Rossmann Mağazacılık Ltd. Şti. tarafından Kurula iletilen veri ihlal bildiriminde özetle; üçüncü taraf teknoloji firması yetkilisinin parolasının ele geçirilmesi sonucunda veri ihlali gerçekleştiği, ihlalden etkilenen kişi, kayıt sayısı ile kişisel veri kategorilerinin henüz tespit edilememekle birlikte ilgili kişilerin e-posta ve çağrı merkezi aracılığıyla veri sorumlusundan kişisel veri ihlali hakkında bilgi alabileceği bilgilerine yer verildi.
Güncel Haberler
2024 Yılı KVKK İdari Para Cezası Tutarları yayınlandı
- Kişisel Verileri Koruma Kurumu, yeniden değerleme oranında artırılmış 2024 yılı idari para cezası tutarlarını yayınladı. Güncellenen tutarlara göre, aykırılık oluşturan duruma göre verilebilecek para cezalarının alt ve üst sınırı 47.303 TL ile 9.463.213 TL arasında değişebileceği görülüyor.
Kişisel Verileri Koruma Kurumu Deepfake ile ilgili Bilgi Notu hazırladı
- Kişisel Verileri Koruma Kurumu; “Deepfake” (derin kurgu ya da derin sahte) teknolojisi ne olduğunun daha iyi anlaşılabilmesi amacıyla Deepfake Bilgi Notu hazırladığını duyurdu. Bilgi Notunda Deepfake teknolojisinin tanımı, kullanılma amacı, kişisel veriler açısından oluşturduğu tehditler ve bu tehditlere karşı alınabilecek önlemlere yer verildiği belirtildi.
KVKK, Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber yayımladı
- Kişisel Verileri Koruma Kurumu, elde edilmesi halinde mahiyeti gereği ilgili kişilerin diğer kişisel verilerine de erişim imkânı sağlayabilmesi sebebiyle mağduriyete yol açabilecek olan Türkiye Cumhuriyeti (T.C.) kimlik numaralarının işlenmesi faaliyetinde dikkat edilmesi gereken hususlara ilişkin rehber yayınladı. Rehberde ilgili kişilerin kişisel verilerinin korunmasını isteme hakkına daha az müdahalede bulunan yöntemlerin tercih edilmesi ve bu çerçevede veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınması gerektiği vurgulandı.
KVKK, Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi yayımladı
- Kişisel Verileri Koruma Kurumu, seçim faaliyetlerinde yer alan kamu idarelerine, siyasi partilere, adaylara ve seçmenlere Kanun kapsamında yerine getirmeleri gereken yükümlülüklerin veya sahip oldukları hakların hatırlatılması amacıyla, seçim faaliyetleri (seçmen kütüğünün düzenlenmesi, güncellenmesi, askıya çıkartılması, aday adaylığı, aday gösterme, kesin aday listelerinin ilanı, seçim propagandası, kamuoyu araştırmaları, oy verme vb.) kapsamında işlenen muhtelif kişisel verilere ilişkin olarak Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi yayımladı.
Kurum, bir yurt dışı aktarım taahhütnamesinin daha onaylandığını duyurdu
- Kişisel Verileri Koruma Kurumu, Celltrion Healthcare İlaç Sanayi ve Limited Şirketi tarafından yapılan yurt dışı veri aktarım taahhütnamesinin onaylandığını duyurdu. Kişisel Verilerin Korunması Kanunu’nun 9. maddesi uyarınca veri aktarım taahhütnamesi, yeterli korumanın bulunmadığı ülkelere veri aktarımı yapmak isteyen veri sorumlusu şirketlerin ilgili kişilerin açık rızası olmaksızın, hukuka uygun şekilde veri aktarabilmesinin yöntemlerinden biri olarak yer alıyor.
Kurum, Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Finansal Hesap Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri Hakkında Kamuoyu Duyurusu yayımladı
- Kişisel Verileri Koruma Kurumu, yurt dışında ikamet eden Türk vatandaşları tarafından finansal hesap verilerinin yurt dışındaki makamlara aktarılması hakkında yapılan muhtelif sayıdaki başvuru üzerine bir kamuoyu duyurusu yayınladı. Duyuruda, kişisel verilerin Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak, Kurulun izniyle yurt dışına aktarılabileceğini ve uluslararası sözleşme hükümleri söz konusu olduğunda bu anlaşmalar çerçevesinde kişilerin açık rızası aranmaksızın ya da Kurul iznine tabi olmaksızın kişisel verilerin yurtdışına aktarılabileceği açıklanarak bu yönde gelen şikayetlerin değerlendirmeye alınmayacağı belirtildi.
ABD Ulusal Standartlar ve Teknoloji Enstitüsü NIST, işletmelerin siber güvenlik standartlarına yönelik kılavuz yayınladı
- NIST, işletmelerin siber güvenlik programlarına yönelik taslak kılavuz yayınladı. İki ciltten oluşan kılavuzun farklı kitlelere yönelik olduğu belirtildi. Esas olarak bilgi güvenliği uzmanları için yazılan ilk kılavuzda, bir kuruluşun halihazırda yürürlükte olan güvenliğin yeterliliğini belirlemek için belirli önlemleri nasıl önceliklendirebileceği, seçebileceği ve değerlendirebileceği konusunda bilgiler yer aldığı görüldü. Üst düzey yöneticileri hedef alan ikinci kılavuzun ise, bir kuruluşun bir bilgi güvenliği ölçüm programını nasıl geliştirebileceğini özetlemekte ve bunun zaman içinde uygulanması için çok adımlı bir iş akışı sunduğu görülüyor.
AB Veri Yasası 12 Eylül 2025’te yürürlüğe giriyor
- Adil ve yenilikçi bir veri ekonomisi için yeni kurallar getirmeyi amaçlamış olan AB Veri Yasası, tüm ekonomik sektörlerde AB’de üretilen verilere erişim ve bunları kullanma haklarını tanımlıyor ve başta endüstriyel veriler olmak üzere verilerin paylaşımını kolaylaştırmaya çalışıyor. Veri Yasası, veriden kimin hangi koşullar altında değer yaratabileceğini açıklığa kavuşturarak dijital ortamda adaleti sağlayacağını, aynı zamanda endüstriyel verilerin kilidini açarak ve verilerin kullanımına ilişkin yasal netlik sağlayarak rekabetçi ve yenilikçi bir veri pazarı canlandıracağını da taahhüt ediyor.
ABD Federal Ticaret Komisyonu FTC, DNA verilerinin güvenliği ve uygulama öncelikleri için kılavuz yayınladı
- ABD Federal Ticaret Komisyonu FTC, bireylerin DNA verilerinin güvenli bir şekilde saklanmasına ilişkin kılavuz yayınladı. FTC, DNA test kitleri sunan şirketlerin, DNA verilerinin hassaslığı nedeniyle sağlam veri güvenlik sistemlerine sahip olması gerektiğini belirtti. Ek olarak FTC, testlerin doğruluğu ve müşteri verilerinin satışı için onay almaya yönelik aldatıcı girişimler de dahil olmak üzere DNA testi firmalarını araştırabileceği alanları da yayınlanan kılavuzda açıkladı.
Fransa Veri Koruma Otoritesi CNIL, sağlık verileri depolama kılavuzunu yayınladı
- Fransa Veri Koruma Otoritesi CNIL, sağlık verilerinin işlenmesi ve saklanması standartlarına ilişkin kılavuz yayınladı. Kılavuz, sağlık verilerinin korunmasını sağlamak için ek önlemlere odaklanırken AB Genel Veri Koruma Yönetmeliğine uyumun önemini ayrıca vurguladı.
Isaca’dan Haberler
ISACA İstanbul Chapter, Veri Koruma Uygulamalarında Denetimin Stratejik Rolü konulu etkinliğini gerçekleştirdi
28 Ocak Veri Koruma Günü temasıyla düzenlenen interaktif etkinlikte alanında uzman konuşmacıların iş dünyasında veri koruma uygulamalarında denetimin stratejik rolü ve pratikteki yansımaları ele alındı. ISACA İstanbul Chapter etkinliği, ISACA Istanbul Hukuk ve Mahremiyet Direktörü Av. Büşra Yanlıç moderatörlüğünde, konuşmacı Köksal&Partners Yönetici Ortağı Mehmet Ali Köksal ve Denizbank DPO’su Demet Arslaner Keklikkıran eşliğinde gerçekleştirildi.
ISACA, 2024 yılı Gizlilik Raporu’nu yayımladı
ISACA 2024 Yılı Gizlilik Raporu mahremiyet alanında işgücü, mahremiyet becerileri, tasarım gereği mahremiyet ve mahremiyetin geleceği ile ilgili yeni bulguları içeriyor. Veri gizliliğindeki en son gelişmeleri takip etmek ve 2024 Yılı Gizlilik Raporu ile ilgili detaylara göz atmak için aşağıdaki linkten erişim sağlayabilirsiniz!