Şubat 2023 Bülteni
ISACA İSTANBUL CHAPTER KİŞİSEL VERİLERİN KORUNMASI HAKKINDA BÜLTEN
Yaptırımlar
ICO’dan rahatsız edici arama faaliyetine 200.000 £ para cezası
- Birleşik Krallık Veri Koruma Otoritesi ICO, IT’s OK Limited Şirketi’ne on bir aylık dönemde ülkenin sabit hat ve cep telefonu numarları için tek ve resmi arama kaydı olan telefon tercih hizmetine kayıtlı kişilere yaptığı 1.752.149 adet rahatsız edici arama nedeniyle 200.000 £ para cezası verdi. Karara göre şirketin eylemleri, potansiyel olarak savunmasız kişileri hedef alan sömürücü bir kampanyayı temsil ediyordu.
Tayvan araç kiralama şirketine para cezası
- Tayvan Ulaştırma ve Haberleşme Bakanlığı, veri ihlali yaşayan iRent adlı araç kiralama şirketine 90.000 yuan para cezası verdi. Eksiksiz bir kişisel veri dosyası güvenlik bakım planı oluşturmayarak Kişisel Verileri Koruma Yasası ve Otomobil Taşımacılığı Endüstrisi Kişisel Veri Dosyası Güvenlik Bakım Planı’na ve işleme yöntemine uymadığı belirtilen şirkete uyumlu hale gelmek için 28 Şubat tarihine kadar süre verildi.
Veri İhlalleri
Regal Tıp Grubu 3.3. milyondan fazla kişiyi etkileyen veri ihlali nedeniyle toplu davayla karşı karşıya
- GovInfoSecurity haberine göre, Kaliforniya’da yer alan Refal Medical Grup isimli tıbbi grup 3,3 milyon kişiyi etkileyen fidye yazılımı saldırısı nedeniyle en az beş toplu davayla karşı karşıya kalacak. Kuruluşun bireylerin sağlık verilerini koruma konusunda ihmalkar davrandığı, veri güvenliği konusunda yeterince yatırım yapmadığı ve Kaliforniya Tüketici Gizlili Yasası(CCPA), HIIPAA ve Federal Ticaret Komisyon Yasası dahil omakt üzere birçok eyalet ve federal yasasını ihlal ettiği iddia ediliyor.
Güncel Haberler
İtalya’dan yapay zekaya yasak
- İtalyan Veri Koruma Otoritesi Garante, ABD merkezli yapay zeka chatbot şirketi Replika’nın İtalyan kullanıcıların kişisel verilerini işlemesini yasakladı. Uygulamanın küçükler için somut riskler içerdiği, şeffaflık ilkesine saygı göstermediği ve kişisel verilerin hukuka aykırı bir şekilde işlendiğini belirten Garante, şirkete veri işleme faaliyetini durdurması için 20 günlük süre verdi. Şirket talimatlara uymaması halinde 20 milyon avroya veya yıllık küresel cirosunun %4’üne varan bir para cezasına çarptırılabilir.
Sahte yapay zekaya dikkat
- Siber güvenlik firması Cyble tarafından yapılan araştırmaya göre, ChatgGPT benzeri yapay zeka robotlarının popülerliği yeni Android kötü amaçlı yazılımları ve kimlik avı kampanyalarına yol açıyor. Araştırmaya göre ChatGPT’nin yaygın kullanımından yararlanan çeşitli Android kötü amaçlı yazılım aileleri, ChatGPT’nin simgesini ve adını, şüphelenmeyen kullanıcıları yanıltarak bunların gerçek uygulamalar olduğuna inandırmak için kullanıyor ve sonuç olarak Android cihazlardan hassas bilgilerin çalınmasına yol açıyor.
TikTok Avrupa’da iki yeni veri merkezi daha açıyor
- TikTok, Avrupa’da iki adet yeni veri merkezi daha açacağını duyurdu. Şirketin Avrupa operasyonlarından sorunlu müdürü Rich Waterworth, platformun İrlanda’da yapılan operasyonlarını tamamlamak için Avrupa’da üçüncü bir veri merkezi kurma görüşmelerinde olduğunu ve kullanıcı veri taşımalarının bu yıl içinde başlayacağını söyledi.
ICO, çevrimiçi oyun geliştiricileri için kılavuz yayınladı
- Birleşik Krallık Veri Koruma Otoritesi ICO, çocuklar için çevrimiçi oyun geliştiren oyun tasarımcılarına yönelik olarak Birleşik Krallık Yaşa Uygun Tasarım Kodu uyum çabalarına yardımcı olmayı planlayan bir öneri kılavuzu yayınladı. ICO’nun tavsiyeleri arasında ayrıntılı risk değerlendirmeleri yapılması, etkili yaş doğrulama sistemleri uygulanması, şeffaf olma, çocuklara ait verilerin zararlı şekilde kullanılmasını önleme, varsayılan gizlilik ayarları, sorumlu şekilde profil oluşturma ve çocukları gizlilik seçeneklerini seçmeye teşvik eden pozitif dürtme tekniklerinin uygulanması yer alıyor.
EDPB Meta veri aktarım davasında karar vereceğini duyurdu
- Avrupa Veri Koruma Kurulu EDPD, Meta’nın AB-ABD arası veri aktarımlarının hukuka uygunluğuna ilişkin bağlayıcı kararını 14 Nisan’ kadar açıklayacağını duyurdu. Dava, gizlilik ihlalleri nedeniyle Facebook’a karşı yürüttüğü kampanyaları ve Avrupa ile ABD arasında serbest veri aktarımı sağlayan anlaşmaların geçersiz kılınmasındaki kararlara adını veren Avusturalyalı Max Schrems tarafından 2013 yılında yapılan bir gizlilik ihlali davasından kaynaklanıyor. 16 Temmuz 2022 tarihinde AB-ABD arasında veri transferini düzenleyen çerçeve olan Privacy Shield(Gizlilik Kalkanı) Avrupa Adalet Divanı tarafından Schrems II kararıyla geçersiz kılınmıştı. İrlanda Veri Koruma Komisyonu, Temmuz 2022’de ise Meta’nın ABD ile kullanıcı bilgilerini değiş tokuş etmek için Standart Contractual Clauses(Standart Sözleşme Maddeleri) sebebine dayanmasına izin verilmemesini önerdi. Kararın sonucuna göre Facebook ve Instagram, gizlilik endişeleri nedeniyle Avrupalı kullanıcı verilerini ABD’ye göndermeyi durdurmak zorunda kalabilir.
Sesli kimlik doğrulama sistemi sanıldığı kadar güvenli mi?
- Bir Vice raportörü, kendi Lloyds Bank hesabını, yapay zekâ tarafından oluşturulmuş ücretsiz bir ses kaydını kullanarak başarıyla hackleyerek sistemlerin yapay zekâ tarafından üretilen seslerle kandırabildiğini gösterdi. Raportöt tarafından verilen bilgiye göre; SocialProof Security CEO’su Rachel Tobac, “Ses ‘kimlik doğrulamasından’ yararlanan tüm kuruluşlara, çok faktörlü kimlik doğrulama gibi güvenli bir kimlik doğrulama yöntemine geçmelerini tavsiye ediyorum,” dedi.
ICO’dan KOBİ düzeyindeki şirket muhasebecilerine hatırlatma
- İngiltere Veri Koruma Otoritesi ICO, muhasebecileri KOBİ düzeyindeki şirketlerin veri koruma uyumluluğuna ilişkin uygulamalarına yardımcı olmadaki önemli rollerini tanımaya davet etti. Duyuruya göre, Birleşik Krallık düzenleyicisi tarafından yürütülen araştırmada KOBİ’lerin üçte birinden fazlasının (%34) tavsiye için muhasebecilerine güvendiği belirtiliyor.
Danimarka Veri Koruma Otoritesi(Datatilsynet) çerez duvarı kılavuzu yayınladı
- Danimarka Veri Koruma Otoritesi Datatilsynet, iki somut şikayet üzerine çerez duvarı dağıtımına ilişkin kılavuz yayınladı. Düzenleyici kurum, devam eden en iyi uygulamalar için çıkarımları özetleyerek, şirketlerin “benzer bir yaklaşım kullanmak isterlerse veya zaten kullanıyorlarsa” “dikkat almaları gerektiğini” belirtti.
Zimbabwe’de sanal şehir inşa ediliyor
- Zimbabwe’nin başkendi Harare dışında bir “sanal şehir” inşa etmeye başladığı konuşuluyor. Habere göre Dubai merkezli Mulk International şirketiyle ortaklaşa yürütülen Zim Cyber City projesinin 500 milyon dolarlık ilk etabına başlangıç verilmiş durumda. Güvenlik kameraları ve yüz tanıma sistemleri açısından cüretkar olan proje, teknolojik olduğu kadar mahremiyetin korunmasına ilişkin soru işaretlerini de barındırıyor.
İspanya Veri Koruma Otoritesi’nden anonimlestirme kilavuzu
- İspanya Veri Koruma Otoritesi Agencia Española de Protección de Datos, veri anonimleştirmesine yönelik bir kılavuz yayımladı. AEDP, anonimleştirme konusunda mükemmelliğe ulaşan bir insan etkinliği olmadığı ve anonimleştirmenin bozulma olasılığının her zaman bulunduğunu belirterek her halükarda gözden geçirme, güncelleme yapılması ve buna ek olaak nitelik, bağlam, amaçlar ve riskler dikkate alınarak uygunluğu sağlamak için uygun önlemler alınması gerektiğini vurguladı.