Aylık
KVK Bülteni
Aralık 2018
GSG Hukuk
www.gsghukuk.com
Güncel Haberler
• Avrupa Birliği’ne Mal ve Hizmet Sunan Şirketler için Önemli Düzenleme
• Google ve Fransa Veri Koruma Otoritesi Arasında “Unutulma Hakkı” ile İlgili Davada Yeni Gelişme
• Almanya’daki Siber Saldırı
• Hava Durumu Uygulamasına Karşı Veri Mahremiyeti Davası
• Avusturya Ulusal Posta Şirketi’nin Veri Mahremiyeti İhlal İddiası
• İlaç Zinciri Veri Sızıntısı
• Amazon Kullanıcılarının Veri İhlali
• Cambridge Analytica’nın Ana Şirketi Cezaya Maruz Kaldı
• ICO 200.000 pound cezaya hükmetti
Bu sayıda
www.gsghukuk.com
Avrupa Birliği’ne Mal ve Hizmet Sunan Şirketler için Önemli Düzenleme
GDPR’ın bölgesel uygulamasına ilişkin 3. maddesi, GDPR’ın kapsamının sadece AB ile sınırlı olmadığını ve AB dışındaki şirketler için de GDPR’ın uygulama alanı bulabileceğini düzenlediği için tartışmalıydı.
Bu doğrultuda AB’deki veri koruma otoritesi olan Avrupa Veri Koruma Kurulu (“EDPB”) bu konuya ilişkin bir rehber yayınladı. Rehberde alt başlıklar halinde (i) şirketin AB’de kurulu olma kriteri, (ii) AB pazarını hedefleme kriteri, (iii) AB Üye Ülke hukuklarının Uluslararası Hukuk kuralları uyarınca uygulandığı bir yerde veri işlenmesi ve (iv) AB’de kurulu olmayan Veri Sorumluları ve Veri İşleyenlerin temsilcileri değerlendirilmiştir.
Rehberde, Türkiye’de kurulu bir websitesi örnek olarak ele alınmıştır. Türkiye’de kurulu ve Türkiye’den yönetilen bu websitesinin kişiselleştirilmiş aile fotoğraf albümlerinin yaratılması, düzenlenmesi, basılması ve dağıtımına ilişkin hizmet sunduğu varsayılmıştır.
Websitesi, İngilizce, Fransızca ve Almanca dillerinde hizmet vermekte ve ödemelerini Euro veya Sterlin olarak almaktadır.
Benelux ülkeleri ve Almanya’ya kargo ile gönderilebilmektedir.
Bu durumda, kişiselleştirilmiş fotoğraf albümünün yaratılması, düzenlenmesi ve basılmasının AB hukukunda hüküm doğurduğu belirtilmiştir.
Rehbere göre websitesinin dört farklı AB dilinde hizmet
sunması ve altı farklı AB üye ülkesine dağıtım yapması, Türkiye’de kurulu websitesinin AB’de yer alan bireylere hizmet sunma amacı taşıdığını
göstermektedir. Bu durumda Türkiye’de kurulu bu
websitesinin Veri Sorumlusu olarak GDPR m. 3(2)(a) uyarınca GDPR’da yer alan yükümlülüklere tabi olduğu belirtilmiştir. Bu durumda GDPR m. 27 uyarınca söz konusu websitesinin Veri Sorumlusu olarak AB’de bir temsilci ataması gerektiği belirtilmiştir. Bu temsilcinin temel olarak AB veri koruma otoriteleri ve AB vatandaşlarının sorularına muhatap olmak ve AB’deki veri mahremiyeti ile ilgili konularda kontak kişisi olarak hareket etmek üzere atanması gerekecektir. Söz konusu temsilci gerçek kişi olabileceği gibi tüzel kişi de olabilir.
Bu temsilcinin hizmet sunulan AB Üye Ülkelerinden birinde
Birleşik Krallık, Fransa, Benelux ülkeleri ve Almanya’dan birinde kurulu olmalıdır). Veri
sahiplerine fotoğraf
albümlerinin oluşturulması ile ilgili hizmeti kullanmaya
başlamadan önce yapılan online bildirimin içeriğinde, Veri Sorumlusunun isim ve iletişim detayları hakkında bilginin de yer alması gerektiği
belirtilmiştir. Bu bilginin aynı zamanda websitesinin genel gizlilik bildirimi kısmında da yer alması gerektiği ifade edilmiştir.
Rehberin tam metnine
https://edpb.europa.eu/sites/e dpb/files/files/file1/edpb_guide lines_3_2018_territorial_scope _en.pdfadresinden ulaşılabilir.
Güncel Haberler:
Google ve Fransa Veri Koruma Otoritesi Arasında
“Unutulma Hakkı” ile İlgili Davada Yeni Gelişme
Google ve Fransa Veri Koruma Otoritesi CNIL arasında devam eden unutulma hakkına ilişkin davada Avrupa Birliği Adalet Divanı (“Adalet Divanı”) ilk görüşünü bildirdi. Adalet Divanı, temel olarak veri sahiplerinin kendileri ile ilgili geçersiz ya da ilgisiz online bilgilerin kaldırılmasını talep etmesine izin veren unutulma hakkının global olarak
uygulanmaması gerektiği yönünde görüş verdi.
Söz konusu dava, CNIL’ın Google’a bir veri sahibinin isminin tüm internet etki alanlarından kaldırılmaması sebebiyle verdiği 100.000 Sterlin tutarındaki cezadan sonra açılmıştı. Google, unutulma hakkını “coğrafi- bloke” önlemiyle yalnızca AB ülkelerinin erişimi olan etki alanları için uygulamıştı.
Verilen cezanın ardından
Google konuyu Adalet Divanı’na taşıyarak cezanın iptalini istedi.
Adalet Divanı’nın verdiği görüşte, arama motorlarının, internetteki bilgilere erişimi kısıtlaması zorunluluğunun yalnızca AB için uygulanması gerektiği ve bu uygulamanın dünya çapında olması
durumunda dünyada konuşma hakkının tehlike altında olacağı belirtildi. Bu uygulamanın global ölçekte kabul edilmesi
halinde Çin, Rusya ve Suudi Arabistan gibi ülkelerde
sansürün uygulanmasını teşvik edeceği belirtildi. Hukuk sözcüsü, yaptığı savunmada unutulma hakkının diğer “temel haklar” olan veri koruma hakkı, gizlilik ve bilgiye erişimde meşru kamu menfaatine karşı dengelenmesi gerektiğini belirtti.
Almanya’daki Siber Saldırı Almanya’da 20 yaşındaki bir genç, kamuya mal olmuş yaklaşık 1000 kişinin kişisel verilerini yetkisiz olarak ele geçirdi. Basına yansıyan detaylara göre aralarında gazeteciler, sanatçılar ve politikacılar bu siber saldırının mağdurlarını oluşturmakta.
Erişilen kişisel veriler arasında isim, soy isim, telefon numarası, adres, kredi kartı detayları ve özel mesajlaşmalar yer alıyor.
Siber saldırının arkasında bulunan 20 yaşındaki gencin saldırıyı siyasi veya dini bir motivasyonla işlemediği, mağdurların davranış ve açıklamalarından rahatsız olduğu için gerçekleştirdiği belirtildi. Saldırının arkasında herhangi bir hükümetin ya da örgütün bulunmadığı belirtildi.
“ILoveYou”, “123” gibi çok basit şifreler konulmasının saldırıyı kolay hale getiren en önemli unsur olduğu belirtildi.
Kişisel verileri çalınanlar arasında Almanya Başbakanı Angela Merkel ve Almanya
Cumhurbaşkanı Frank-Walter Steinmeier da bulunuyor.
Suçunu itiraf eden 20 yaşındaki gencin 3 yıl hapis cezası ile cezalandırılması gündemde.
Hava Durumu
Uygulamasına Karşı Veri Mahremiyeti Davası Los Angeles Belediyesi
avukatlarından Mike Feuer, bir IBM kuruluşu olan ve hava durumuna ilişkin uygulama hizmeti sunan The Weather Channel Product and Technology, LLC (“TWC”) şirketinin uygulaması vasıtasıyla kişilerin lokasyon verilerine eriştiğini ve TWC’nin bu verileri hizmet sunmanın dışında çıkar elde etmek için kullandığı iddiasıyla şikayette bulundu.
Şikayette, TWC’nin ilgili kişilerin lokasyon verilerine 7/24 ulaşılabildiği ve bu verilerin IBM iştiraklerine ve üçüncü kişi şirketlere satıldığı iddiaları da yer almakta. Her ne kadar TWC’nin Veri Gizliliği Politikası’nda lokasyon verilerinin işlenmesi için izin alınacağı yer alsa da şikayette bu bilgilendirmenin yeterince net ve açık olmadığı öne sürülüyor.
Şikayetin TWC aleyhine sonuçlandığı takdirde emsal nitelikli bir karar haline gelebileceği ve bu paralelde birçok yeni yargı kararına öncülük edebileceği belirtiliyor.
www.gsghukuk.com
Avusturya Ulusal Posta Şirketi’nin Veri
Mahremiyeti İhlal İddiası Avusturya’nın ulusal posta şirketi, 3 milyon müşterisinin verilerini satmakla suçlanıyor.
Şirket’in müşterilerinin isimlerini, adreslerini ve cinsiyetlerini izinsiz olarak üçüncü taraf şirketlere siyasi profilleme yapmak amacıyla sattığı ortaya çıktı.
Geçtiğimiz sene içerisinde Facebook ve Cambridge Analtyica benzer bir skandala karışmıştı. Paylarının birçoğu devlet tarafından kontrol edilmekte ve Viyana
Borsa’sında işlem görmekte olan posta şirketi ise Avusturya mevzuatı uyarınca herhangi bir ihlalde bulunmadığı iddiasında.
İlaç Zinciri Veri Sızıntısı Ünlü İngiliz ilaç şirketi olan Well Pharmacy Group, e-posta yoluyla 24.000 çalışanının verilerini sehven açığa çıkardı.
Yetkisiz kişilere yollanan e- postanın ekinde yer alan tabloda çalışanlara ait isim, soy isim, adres ve e-mail adresleri yer almakta.
Well Pharmacy Group’un veri güvenliğinden sorumlu kıdemli müdürü Chris Ellett yaptığı açıklamada üzgün olduğunu belirtti ve böyle bir olayın tekrar yaşanmaması için gerekli önlemleri aldıklarının altını çizdi. E-postada ayrıca
çalışanların performanslarına ilişkin verilerin yer aldığı
iddiasına ise karşı çıkan Ellett, böyle bir iddianın gerçeği yansıtmadığını belirtti.
Amazon Kullanıcılarının Veri İhlali
Almanya’da yaşayan ve Amazon’un akıllı uygulaması Alexa kullanıcısı olduğu belirtilen bir kişi, GDPR kapsamında kişisel verilerine erişmek için (“Right of Access”) Amazon’a yaptığı başvuruya cevap olarak bir başka Amazon kullanıcısının 1.700 ses kaydı ile karşılaştı.
Konuya ilişkin olarak Amazon yaptığı açıklamada, ilgili kayıtların insan kaynaklı bir hata sonucu ortaya çıktığını ve bunun münferit bir olaydan ibaret olduğunu iddia etti.
Verileri paylaşılan ve böylece özel hayatın gizliliği hakkı ihlal edilen diğer kullanıcının ise Amazon’a karşı hukuk davası açabileceği belirtildi.
Cambridge Analytica’nın Ana Şirketi Cezaya Maruz Kaldı
Facebook veri paylaşımı skandalı ile akıllarda yer eden Cambridge Analytica’nın ana şirketi olan SLC Elections, ICO’nun tebligatına itibar etmemesi sebebiyle 15.000 pound cezaya mahkum edildi.
İşbu cezaya dayanak teşkil eden husus ise Amerikalı Profesör David Carroll’ın Şirket’e verilerine erişmek için başvurması ve bu başvuruya Şirket’in efektif bir şekilde
cevap verememesi gösterildi.
ICO Başkanı’nın konuya ilişkin yapmış olduğu açıklamada ise özel hayatın gizliliği ve veri koruması düzenlemelerinin dikkate alınmamasının şirketler için ciddi sonuçları
olabileceğini ve bu cezanın bir uyarı niteliğinde olduğunu belirtti.
ICO 200.000 pound cezaya hükmetti
Londra merkezli Tax Returned Limited şirketi, Temmuz 2016 - Ekim 2017 tarihleri arasında kişilerin açık rızaları olmaksızın 14.8 milyon pazarlama maili atmasının tespiti üzerine ICO tarafından 200.000 pound tutarında cezaya mahkum edildi.
ICO’nun konu üzerine yapmış olduğu incelemede Şirket’in ilgili iletilerin gönderimini dışardan bir servis sağlayıcı ile yürüttüğü belirlendi. Şirket yapmış olduğu savunmada kişilerin açık rızalarının usulüne uygun şekilde alındığını iddia etmesine rağmen ICO yetkililerinin ilgili metinleri muğlak ve Şirket’i ve üçüncü taraf servis sağlayıcısını kapsamadığını tespit etti.
Kısaltmalar
ICO Information Commissioner's Office GDPR General Data Protection Regulation Adalet
Divanı
Avrupa Birliği Adalet Divanı (European Court of Justice)
EDPB
European Data Protection Board (Avrupa Veri Koruma Kurulu)KVKK Kişisel Verileri Koruma Kanunu
m . Madde
AB Avrupa Birliği
Nilgün Serdar Şimşek, LL.M.
Ortak, Avukat
T: +90 (212) 326 63 68 nilgun.simsek@gsghukuk.com
Rıza Eroğlu Kıdemli Müdür T: +90 (212) 326 64 61 riza.eroglu@gsghukuk.com
İpek Okucu Taftalı Müdür, Avukat
T: +90 (212) 326 60 68 ipek.okucu@gsghukuk.com
GSG Hukuk
Aylık Kişisel Verilerin Korunması Hukuku Bülteni
Aralık 2018
Süleyman Seba Cad.
No :48 BJK Plaza B Blok K:4 Akaretler
Beşiktaş - İstanbul
www.gsghukuk.com
KVKK kapsamında yerine getirmeniz gereken hukuki yükümlülükler hakkında daha detaylı bilgi almak için bizimle iletişime geçin