Personal Data Protection Bulletin
KİŞİSEL VERİLERİN KORUNMASI BÜLTENİ[1] |
||
GELİŞME |
ÖNEMİ/ AÇIKLAMALARIMIZ |
|
Tarihi |
Konusu |
|
22.08.2024 |
Bulut Bilişim Teknolojilerinde Yurt Dışına Veri Aktarımı-
Microsoft bulut hizmetlerinde standart sözleşmelerini kurumsal anlaşma paketlerinin bir parçası haline getirildiği açıklandı[2]. |
Uygun güvencelerden biri olan standart sözleşme metinlerinin sağlanması yanında Kişisel Verilerin Korunması Kanunu (“KVKK”) 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması koşulunun da sağlandığı takdirde;
Halihazırda Microsoft bulut hizmetlerini kullanan veya kullanacak olan veri sorumluları işledikleri kişisel verileri yurt dışına aktarım kapsamında Microsoft bulutunda konumlayabilecek ve müşterileri için Microsoft’un hizmetlerinden faydalanabilecektir. |
26.08.2024 |
Avrupa Birliği’nden Gelişmeler-
Hollanda Veri Koruma Otoritesi (Dutch Supervisory Authority) tarafından Uber hakkında 290 Milyon Euro idari para cezasına hükmedildi[3] |
Olayın Özeti: Hollanda Veri Koruma Otoritesi, Uber'in hesap bilgileri ve taksi ruhsatlarının yanı sıra konum verileri, fotoğraflar, ödeme bilgileri, kimlik belgeleri ve hatta bazı durumlarda sürücülerin suç ve tıbbi verileri gibi Avrupa'daki sürücülerin özel nitelikli kişisel verilerini topladığını ve bunları ABD'deki sunucularda sakladığını tespit etti.
Yapılan İhlal Değerlendirmesi: ÜÇÜNCÜ ÜLKELER VEYA ULUSLARARASI KURULUŞLARA YAPILACAK KİŞİSEL VERİ AKTARIMLARI İÇİN UYGUN GÜVENCELERIN SAĞLANAMAMASI
Uber tarafından iki yıldan uzun bir süre boyunca kişisel verilerin transfer araçları[4] kullanılmadan ABD'deki Uber merkezine aktarıldığı tespit edilmiştir.
Uber’in, geçen yılın sonundan bu yana ABD ile AB arasındaki Gizlilik Kalkanı'nın (Privacy Shield) dayanarak bu aktarımları yapıyordu ancak AB Adalet Divanı (Court of Justice of the European Union -CJEU) tarafından 16 Temmuz 2020’de, kişisel verilerin ABD'ye aktarılması için kullanılan yöntemlerden biri olan AB-ABD Gizlilik Kalkanı'nı geçersiz kılındı. Zira AB Adalet Divanı, ABD gözetim yasaları uyarınca ABD hükümetinin, Avrupalılara Avrupa Birliği'ndekilere eşdeğer gizlilik korumaları sağlamayan kişisel verilere erişebildiğini tespit etti.
Ancak Avrupa Birliği Adalet Divanı'nın kararı, Kişisel Veri Aktarımlarını meşrulaştırmak için Gizlilik Kalkanı kadar kullanışlı olmayan Standart Sözleşme Maddeleri (Standard Contractual Clauses) veya Bağlayıcı Şirket Kuralları (Binding Corporate Rules) temelinde yapılan aktarımları geçersiz kılmadı. Dolayısıyla mahkemeye göre, Standart Sözleşme Maddeleri, yalnızca uygulamada eşdeğer bir koruma düzeyi garanti edilebilirse, verileri AB dışındaki ülkelere aktarmak için geçerli bir temel sağlayabilir. Hollanda Veri Koruma Otoritesi’ne göre, Uber Ağustos 2021'den itibaren Standart Sözleşme Maddeleri'ni artık kullanmadığı için, AB'den sürücülerin verileri yeterince korunmuyordu. Karar: 290 milyon Euro idari para cezası Önemi: Ülkemizde de yeterlilik kararlarının bulunmaması veya sonradan ortadan kaldırılması halinde uygun güvencenin sağlanması koşullarının da sağlanması gerekeceği bizim uygulamamız bakımından da dikkat edilmesi gereken bir unsur olarak ön plana çıkmaktadır. Zira KVKK kapsamında da Kişisel Verileri Koruma Kurulu tarafından ilan edilen yeterlilik kararları 4 yılda bir değerlendirilmekte ve yeterlilik kararı, Kurul’un değerlendirmesi sonucunda veya gerekli gördüğü diğer hallerde, ileriye etkili olmak üzere değiştirilebilmekte, askıya alınabilmekte veya kaldırabilmektedir[5]. Bu açıdan yurt dışına veri aktarımı yapan veri sorumlularının güncel şartları takip ederek gerekli güvence/önlemleri sağlamaları gerekmektedir. Ayrıca, Hollanda Veri Koruma Otoritesi’nin, Uber'e 2018'de 600 bin Euro, 2023'te ise 10 milyon Euro para cezası verdiği hususuna da dikkat çekilmesi gerekir. |
28.08.2024 |
Standart Sözleşme Metni Taslakları-
Kurum tarafından sözleşmelerin İngilizce metinleri ilan edildi.[6] |
Standart sözleşme metninin, açıkça tarafların rızasına bırakılan hükümleri haricinde, herhangi bir değişiklik yapılmaksızın kullanılması zorunludur. Standart sözleşmenin yabancı dilde de akdedilmesi hâlinde Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik uyarınca Türkçe metin esas alınacağı unutulmamalıdır. Dolayısıyla metinlerin hem Türkçe hem de İngilizce versiyonları aynı anda imzalatılmalıdır.
|
28.08.2024 |
Kişisel Veriler ve Hedefli Reklamcılık Uygulamaları-
Ticaret Bakanlığı ile Kişisel Verileri Koruma Kurumu Arasında İş Birliği Protokolü imzalandı[7] |
Protokolün amaç ve hedefleri şu şekilde özetlenmiştir:
Hedefli Reklamcılık Uygulamaları Nedir?
Kişilerin ilgi ve alaka düzeylerine göre profillerinin oluşturularak kişiyi hedef alan reklam faaliyetleridir.
Bu profil oluşturma sürecinde kişinin hareketleri izlenerek kişi hakkında çokça ve farklı kategorilerde verilerin toplanması ve bu verilerin bir araya gelmesiyle çıkacak daha büyük ve özel nitelikte veriler olabilmektedir. Ancak kişi aslında kendisinin izlendiğinden habersiz verilerinin aleyhine kullanılabilmesi ihtimali bakımından ise aydınlatmadan çok uzaktır.
Kişisel Verilerin Korunması Hukuku Bakımından Neden Önemli?
Duyuruda reklam uygulamalarının kişisel veri mahremiyetini ihlal etmek suretiyle tüketicilerin satın alma davranışlarını etkilemesi (fiyat ayrımcılığı gibi) kişisel verilerin korunması hukuku ile tüketicinin korunması hukukunu kaçınılmaz şekilde kesiştirdiği vurgulanmıştır.
Hedef kitleye daha duyarlı davranma ve ekstra dikkat edilmesi gereken hususların yer alması beklenmektedir. |
[1] Güncel KVKK değişiklikleri hakkında bilgi verilmesi amacıyla hazırlanmıştır.
[2] Bkz. https://www.linkedin.com/posts/leventozbilgin_msftadvocate-activity-7067468733954293760-5zU-/ (Erişim Tarihi: 02.09.2024)
[3] Bkz. https://www.edpb.europa.eu/news/news/2024/dutch-sa-imposes-fine-290-million-euro-uber-because-transfers-drivers-data-us_en (Erişim Tarihi: 02.09.2024)
[4] Madde 46, Avrupa Birliği Veri Koruma Tüzüğü (“GDPR”): Yeterlilik kararlarının bulunmaması durumunda kişisel verileri Avrupa Birliği dışındaki ülkelere aktarmak için başvurulan “uygun güvenlik önlemleri” içeren bir dizi aktarım araçlarıdır. KVKK madde 9/4’te yer alan “uygun güvenceler” ile benzer düzenlemelerdir. GDPR kapsamında özel kuruluşlarla ilgili olan Madde 46 GDPR aktarım araçlarının başlıca türleri (i) Standart veri koruma maddeleri; (ii) Bağlayıcı kurumsal kurallar; (iii) Davranış kuralları; (iv) Sertifika mekanizmaları; ve (v) Ad hoc sözleşme maddeleri. Detaylı bilgi için: https://www.edpb.europa.eu/sme-data-protection-guide/international-data-transfers_en (Erişim Tarihi: 02.09.2024)
[5] Madde 9/2, KVKK
[6] Buradan ulaşabilirsiniz: https://www.kvkk.gov.tr/Icerik/7998/Standart-Sozlesme-Metinlerinin-Ingilizce-Cevirisine-Iliskin-Duyuru (Erişim Tarihi: 02.09.2024)