ARTICLE
3 February 2022

Kişisel Verileri Koruma Bülteni – Şubat 2022

EA
Esin Attorney Partnership

Contributor

Esin Attorney Partnership logo
Esin Attorney Partnership, a member firm of Baker & McKenzie International, has long been a leading provider of legal services in the Turkish market. We have a total of nearly 140 staff, including over 90 lawyers, serving some of the largest Turkish and multinational corporations. Our clients benefit from on-the-ground assistance that reflects a deep understanding of the country's legal, regulatory and commercial practices, while also having access to the full-service, international and foreign law advice of the world's leading global law firm. We help our clients capture and optimize opportunities in Turkey's dynamic market, including the key growth areas of mergers and acquisitions, infrastructure development, private equity and real estate. In addition, we are one of the few firms that can offer services in areas such as compliance, tax, employment, and competition law — vital for companies doing business in Turkey.
Explore Firm Details
Ocak 2021'de kişisel verilerin korunmasıyla ilgili olarak ülkemizde ve dünyada yaşanan önemli gelişmeleri sizler için özetledik.
Turkey Privacy
Ilay Yilmaz and Can Sozer
Your Author LinkedIn Connections

Ocak ayının kişisel verilerin korunması alanında göze çarpan gelişmeleri, Kişisel Verileri Koruma Kurumu'nun ("Kurum") yayımladığı Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar dokümanı ile veri sorumluları siciline kayıt hakkında kamuoyu duyurusu, Çerez Uygulamaları Hakkında Rehber Taslağı, bir uydu televizyon sağlayıcısının ticari elektronik ileti gönderimi hakkında karar ve araç kiralama sektöründe kara liste uygulamasına ilişkin ilke kararı oldu.

Ocak ayında ülkemizde ve dünyada yaşanan gelişmeleri aşağıda sizler için özetliyoruz:

Karar - İlgili kişinin cep telefonu numarasına ticari elektronik ileti gönderilmesi hakkında karar

İlgili kişi, Kurum'a yaptığı şikayette; açık rızası olmaksızın bir uydu televizyon sağlayıcısının kampanyaları hakkında arandığını ve kendisine SMS gönderildiğini iddia etmiştir. Kişisel Verileri Koruma Kurulu ("Kurul"), 2 Aralık 2021 tarihli 2021/1210 sayılı kararında, uydu televizyon hizmeti veren bir şirket bayisinin reklam ve tanıtım amaçlı iletişimler için taşeronlar ile anlaştığını ve taşeronlardan birinin ilgili kiş inin cep telefonu numarasını numara türetme yöntemiyle elde ettiğini tespit etti.

Kurul, uydu televizyon sağlayıcısının veri sorumlusu olarak hareket etmediğini, bayi ile taşeron arasındaki sözleşmede de bayinin veri sorumlusu olduğunu gösterir talimat ilişkisi bulunmadığını ve taşeronların kendi inisiyatifiyle arama yapması sebebiyle veri sorumlusu olduklarını tespit etti. Kurul, kişilerin cep telefonu numarasının kişisel veri niteliğinde olması sebebiyle reklam ve tanıtım amaçlı arama yapılması ve SMS gönderilmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ("Kanun") kapsamında olduğunu belirtti.

Bu doğrultuda Kurul; (i) uydu televizyon sağlayıcısı ve bayi hakkında herhangi bir müeyyide uygulanmamasına, (ii) veri sorumlusu taşeronlara Kanun'daki hukuki sebeplere dayanmamaları sebebiyle idari yaptırım uygulanmasına, (iii) taşeronların ilgili kişinin telefon numarası verisinin imha etmesine, (iv) uydu televizyon sağlayıcısının yeni pazarlama süreçlerinde Kanun'a uyum hususunda gerekli dikkat ve özen göstermesi ve bayi ile yaptığı sözleşmelerde veri sorumlusu ve veri işleyene ilişkin açık hükümlere yer vermesi hususlarında talimatlandırılmasına karar verdi.

Karara buradan ulaşabilirsiniz.

İlke Kararı - Araç kiralama sektöründeki kara liste uygulamaları hakkında ilke kararı

Kurum'un araç kiralama sektöründe kara liste uygulamasına ilişkin değerlendirmelerde bulunduğu ilke kararı 20 Ocak 2022 tarihli ve 31725 sayılı Resmi Gazete'de yayımlandı.

Kurul, araç kiralama şirketlerinin kullandığı yazılımlar kapsamında kişisel verilerin işlenmesini konu alan kararında, kara liste yazılımları aracılığı ile araçları kiralayan kişilerin araç kazaları ve araç kullanımları dahil olmak üzere kişisel verilerinin sisteme kaydedildiğini tespit etti. İlaveten, sisteme kaydedilen bilgilere sadece ilgili araç kiralama şirketi ve yazılım firması tarafından değil diğer tüm araç kiralama şirketleri tarafından erişilebildiğini ve ilgili kişilerin söz konusu veri aktarımı konusunda bilgilendirilmediği belirtildi.

Kurul, söz konusu kara liste verilerinin ancak ilgili kişilerin aracı kiraladığı şirket tarafından işlendiği takdirde "ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati" kapsamında kabul edilebileceğini belirtti. Söz konusu verilerin diğer araç kiralama şirketlerine açılmasının ise veri sorumlusunun meşru menfaati kapsamında değerlendirilemeyeceğine karar vermiştir. İlaveten, Kurum söz konusu verilerin bilinmeyen sayıda araç kiralama şirketi ile paylaşılmasının "hukuka ve dürüstlük kurallarına uygun olma", "belirli, açık ve meşru amaçlar için işlenme", "amaçla bağlantılı, sınırlı ve ölçülü olma" ilkelerine de aykırı olduğuna karar verdi. Kurul, ilgili kişilerin hangi araç kiralama şirketleri ile verilerin paylaşıldığını bilmemesinin yasal hakların kullanımını güçleştirdiğini belirtti.

Önemli bir nokta olarak, Kurul, kara listeye farklı araç kiralama şirketleri erişim sağladığı için bu şirketlerin de veriler üzerinde hakimiyeti bulunduğu ve bu nedenle söz konusu şirketlerin yazılım firmaları ile birlikte ortak veri sorumlusu olduğunu değerlendirdi. Karar uyarınca, ortak veri sorumlularının sorumluluklarının belirlenmesinde (i) verilerin ilk ve son kullanıcısı, (ii) veri girişini yapan veri sorumlusu, (iii) verilerin işlenme amacı, (iv) verilerin değiştirilmesi, silinmesi ve aktarılmasına karar veren veri sorumlusu ve (v) veriyi toplayan veri sorumlusu dışındaki veri sorumlularının veri işleme faaliyetleri dikkate alınmalıdır.

Bu değerlendirmeler ışığında Kurul, ilgili veri sorumlularının Kanun kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine karar vermiş ve gerekli tedbirler alınmadan kara liste uygulamasına devam edilmesinin idari para cezalarına neden olabileceğini belirtti.

Karara ilişkin detaylı incelememizi içeren bültenimize buradan ve karara buradan ulaşabilirsiniz.

Yayım - Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar - 2 dokümanı yayımlandı

Kurum, 3 Ocak 2022 tarihinde, Kişisel Verilerin Korunması Kanunu Hakkında Doğru Bilinen Yanlışlar'ın 2. sayısını yayımladı.

64 soru-cevaptan oluşan dokümanda yer verilen hususlardan başlıcaları: (i) veri işleme şartları ve açık rızanın geçerliliği, (ii) biyometrik veriler, (iii) yurt dışına aktarım şartları, (iv) aydınlatma yükümlülüğünün yerine getirilmesi ve (v) veri ihlali halinde yapılması gerekenler, veri sorumlusuna yapılan başvurular ile Kurul değerlendirmesine ilişkin açıklamalardır.

Dokümana buradan ulaşabilirsiniz.

Duyuru - Veri Sorumluları Siciline Kayıt Hakkında Kamuoyu Duyurusu

Kurum, 4 Ocak 2022 tarihli duyurusunda Veri Sorumluları Sicil Bilgi Sistemi'ne ("VERBİS") kayıt yükümlülüğü olanlara ilişkin aşağıdaki hatırlatmalarda bulundu.

Kurum;

  1. VERBİS kayıt başvuru formunun sadece sisteme girilmesinin veya Kurum'a posta, kargo, kurye, KEP ile iletilmesi ya da elden teslim edilmesinin VERBİS'e kayıt ve bildirim yükümlülüğünü yerine getirmeyeceğini vurguladı. Bu yükümlülüğünün yerine getirilmesi için Kurum'a teslim edilen VERBIS'e kayıt başvuru formunun Kurum tarafından onaylanması ve VERBİS üzerinden "irtibat kişisi" atanmasi gerekmektedir. İlaveten, irtibat kişisinin VERBİS'e giriş yapması ve ilgili veri sorumlusu için düzenlenen bildirimin onaylanması aranmaktadır.
  2. eksik başvuru ve bildirimlerin bir an önce tamamlanmasını ve VERBİS'te kayıtlı bilgilerde değişiklik olması halinde değişiklikleri yedi gün içinde VERBİS üzerinden Kurum'a bildirilmesi gerektiğini hatırlattı.

Duyuruya buradan ulaşabilirsiniz.

Taslak - Çerez Uygulamaları Hakkında Rehber Taslağı

Kurum, 11 Ocak 2022 tarihinde yayımladığı Çerez Uygulamaları Hakkında Rehber Taslağı'nı ("Taslak Rehber") 10 Şubat 2022 tarihine kadar kamuoyu görüşüne açtı.

Taslak Rehber'de:

  • Çerez türleri; (i) sürelerine göre, (ii) kullanım amaçlarına göre ve (iii) taraflarına göre çerezler olmak üzere 3 ana başlıkta toplanmıştır.
  • Elektronik Haberleşme Kanunu'nda ("Kanun") 2002/58/EC sayılı E-Gizlilik Direktifi'nin bilgi toplumu hizmetlerine yönelik düzenlemeleri yer almadığından bu konuda Kanun'un uygulama alanı bulacağı belirtilerek Kurum'un 27 Şubat 2020 tarihli ve 2020/173 sayılı kararına dikkat çekilmiştir.
  • Çerezler için açık rıza gerekip gerekmediğine karar verilirken çerez kullanımının; (i) sadece elektronik haberleşme şebekesi üzerinden iletişim sağlanması kapsamında veya (ii) abonenin veya kullanıcının açıkça talep ettiği bilgi toplum hizmetleri için kesinlikle gerekli olup olmadığı değerlendirilmesi gerektiği belirtilmiştir. Bu kriterlerden birine girmeyen ve Kanun'daki açık rıza dışındaki veri isleme şartlarından herhangi birinin bulunmadığı hallerde, ilgili kişinin açık rızası alınmalıdır.
  • Açık rızanın hukuka uygun olması için ilgili kişinin açık ve spesifik olarak bilgilendirilmesi ve rızanın ilgili kişinin aktif eylemi ve özgür iradesiyle alınması gerektiği vurgulanarak çok sik aralıklarla rıza alınmasının "rıza yorgunluğuna" sebebiyet verebileceği ve ilgili kişinin özgür iradesini sakatlayabileceği belirtilmiştir. Bu kapsamda, internet sitesine her girişte rıza alınması yerine açık rıza tercihinin çerezin ömrüyle orantılı şekilde hatırlatılmasının yeterli olduğu belirtilmiştir.

Çerez kullanan internet sitesi operatörlerinin Kanun'a uyumunu sağlamayı amaçlayan Taslak Rehber, yalnızca kişisel verilerin işlenmesinde kullanılan çerezleri kapsamaktadır. İlaveten Taslak Rehber, internet sitelerine ek olarak internet bağlantısı olan cihazlarda bulunan benzer uygulamalara da uygulanacaktır.

Taslak Rehber'e ilişkin detaylı incelememizi içeren bültenimize buradan ve Taslak Rehber'e buradan ulaşabilirsiniz.

Dünyadan Göze Çarpan Gelişmeler

  • AB: Avrupa Veri Koruma Denetçisi ("EDPS"), Avrupa Parlamentosu'na ABD'ye veri aktarımları için yaptırım uyguladı
    5 Ocak 2022 tarihinde, EDPS, Avrupa Parlamentosu'nun ("Parlamento") üçüncü taraf sağlayıcının kullanıldığı, COVID-19 test rezervasyonu yapılan internet sitesine ilişkin şikayetler hakkındaki değerlendirmesini sonuçlandırdı.
    EDPS kararında, Parlamento'nun; (i) gerekli teknik ve idari tedbirlere ilişkin yeterli güvence sağlamadığını, (ii) veri işleyene ayrıntılı talimatlar verdiğini belgeleyemediğini, (iii) internet sitesindeki hukuka aykırı aydınlatma ve çerez metni nedeniyle şeffaflık, hesap verebilirlik ilkelerine ve ilgili kişilerin bilgi edinme hakkına riayet etmediğini, ve (iv) kullanıcıların terminal ekipmanından çerezler aracılığıyla toplanan ve işlenen bilgileri koruyamadığını tespit etti. EDPS ayrıca, Parlamento'nun, ABD'ye veri aktarımına konu olan kişisel verilerin eşdeğer korumaya sahip olduğu belgelenmemiş olmasına rağmen standart sözleşme maddelerine dayandığını belirtti.
    Bu bilgiler ışığında EDPS, Parlamento'ya kınama cezası uygulanmasına ve Parlamento'nun karar tarihinden itibaren 1 ay içinde internet sitesini kişisel verilerin işlenmesine ilişkin gerekli tüm bilgileri gösterecek şekilde güncellemesi hususunda talimatlandırılmasına karar verdi.
    Karara buradan ulaşabilirsiniz.
  • AB: Avrupa Veri Koruma Kurulu ("EDPB") Erişim Hakkına İlişkin Kılavuz yayımladı
    EDPB, Ocak ayındaki genel oturumunda, erişim hakkını çeşitli yönleriyle ele alan ve erişim hakkının farklı durumlarda nasıl uygulanması gerektiğine dair açık yönlendirmeler içeren Erişim Hakkına İlişkin Kılavuz'u kabul etti. Kılavuz; erişim hakkının kapsamı, veri sorumlusunun ilgili kişiye sunması gereken bilgiler, erişim talebinin formatı, temel erişim sağlama yöntemleri ve asılsız veya makul olmayan taleplere ilişkin açıklamalar içermektedir.
  • Fransa: Fransız Veri Koruma Otoritesi ("CNIL"), kişisel verilerin veri işleyenler tarafından kendi amaçları için yeniden kullanılmasına ilişkin rehber yayımladı
    CNIL, 12 Ocak 2022'de veri işleyenlerin, veri sorumlularından elde ettikleri verileri yeniden kullanmasına ilişkin bir rehber yayımladı. Rehber, bir veri işleyenin veri sorumlusundan elde ettiği kişisel verileri, veri sorumlusuna sunduğu hizmetin amacını aşan şekilde kullanıp kullanamayacağını ve hangi koşullar altında kullanabileceğini belirlemeyi amaçlamaktadır.
    Baker McKenzie Paris ofisinin, bir veri işleyenin veri sorumlusundan aldığı verileri kendi amaçları için kullanabileceği senaryoları, mevcut hizmet ve veri işleme sözleşmelerinde yapılabilecek değişiklikleri ve CNIL'in verilerin tekrar kullanılmasına ilişkin katı yaklaşımını incelediği makaleye buradan ulaşabilirsiniz.
  • ABD: Kaliforniya'daki çalışanların kişisel verilere ilişkin yeni hakları
    1 Ocak 2022'den itibaren Kaliforniya'daki işverenler, sözleşmelerinde belirli veri işleme maddeleri yer almadıkça, kişisel verileri üçüncü taraflarla paylaşmaları halinde iş başvurusunda bulunanları ve çalışanları bilgilendirmekle yükümlü hale geldi. Ek olarak, 1 Ocak 2023'ten itibaren işverenlerin, işverenlerden ve çalışanlardan gelen veri erişim, silme, düzeltme, taşınabilirlik taleplerini ve diğer talepleri yerine getirmesi gerekecek. Bu doğrultuda, yeni protokollerin uygulanması, insan kaynakları ve hukuka uyum ekiplerinin eğitilmesi ve ilgili kişi taleplerinin yerine getirilmesi kapsamında gözden geçirilecek bilgilerin sınırlanması amacıyla veri saklama ve silme protokollerinin sıkı kurallara tabi olması gerekecek.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Ilay Yilmaz
Ilay Yilmaz
Photo of Can Sozer
Can Sozer
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More