ARTICLE
8 March 2022

Kişisel Verileri Koruma Bülteni - Mart 2021

EA
Esin Attorney Partnership

Contributor

Esin Attorney Partnership logo
Esin Attorney Partnership, a member firm of Baker & McKenzie International, has long been a leading provider of legal services in the Turkish market. We have a total of nearly 140 staff, including over 90 lawyers, serving some of the largest Turkish and multinational corporations. Our clients benefit from on-the-ground assistance that reflects a deep understanding of the country's legal, regulatory and commercial practices, while also having access to the full-service, international and foreign law advice of the world's leading global law firm. We help our clients capture and optimize opportunities in Turkey's dynamic market, including the key growth areas of mergers and acquisitions, infrastructure development, private equity and real estate. In addition, we are one of the few firms that can offer services in areas such as compliance, tax, employment, and competition law — vital for companies doing business in Turkey.
Explore Firm Details
Şubat ayının kişisel verilerin korunması alanında göze çarpan gelişmeleri, Kişisel Verileri Koruma Kurumu'nun ("Kurum") yayımladığı veri sorumluları tarafından alınması gereken teknik...
European Union Privacy
Ilay Yilmaz,Can Sozer,Aybüke Gündel Solak
+6 Authors
 Your Author LinkedIn Connections

Şubat ayının kişisel verilerin korunması alanında göze çarpan gelişmeleri, Kişisel Verileri Koruma Kurumu'nun ("Kurum") yayımladığı veri sorumluları tarafından alınması gereken teknik ve idari tedbirler ile 2022 yılı için geçerli idari para cezalarına ilişkin duyurular, ilgili kişinin sınav sonucunun haber sitesinde paylaşılmasına ilişkin karar ve katılım belgesinin verilmesine dair usul ve esaslar oldu.

Şubat ayında ülkemizde ve dünyada yaşanan gelişmeleri aşağıda sizler için özetliyoruz:

Karar - İlgili kişinin sınav sonucunun haber sitesinde paylaşılması hakkında karar

Ilgili kişi, Kurum'a yaptığı şikayette; açık rızası olmaksızın sınav sonucunun yerel bir haber sitesinde paylaşıldığını ve bilgi talebinin yanıtlanmadığını iddia etmiştir.

Kişisel Verileri Koruma Kurulu ("Kurul"), 6 Ocak 2022 tarihli 2022/13 sayılı kararında; ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve puanı gibi bilgilerin veri sorumlusuna ait internet sitesinde yayımlandığını tespit etti. Kurul, sınav puanının ilgili kişinin belirli bir alandaki bilgi ve yeterliliğini, zekasını ve yargısını yansıtabileceği gerekçesiyle; yerleştiği yükseköğretim programının ise kişinin mesleğine veya ilgi alanlarına dair bilgi vermesi sebebiyle kişisel veri niteliğinde olduğunu değerlendirdi. Kurul, eldeki olayda basın özgürlüğü ile kişisel verilerin korunmasını isteme haklarının karşı karşıya gelmesi sebebiyle kamu yararı değerlendirmesi yaptı. Bu kapsamda, Kurul, ilgili kişinin elde ettiği sınav sonucunun sık rastlanan bir olay olduğunu ve haber yapılmasında kamu yararı olmadığını tespit etti.

Bu doğrultuda Kurul; veri sorumlusunun karar tarihine kadar söz konusu haberi internet sitesinden kaldırmış olduğunu da göz önünde bulundurarak 30.000 TL idari para cezası uygulanmasına karar verdi.

Karara buradan ulaşabilirsiniz.

Duyuru - Veri sorumluları tarafından alınması tavsiye edilen idari ve teknik tedbirlere ilişkin kamuoyu duyurusu

Kurum, kişilerin kullanıcı adı ve parola bilgilerinin kamuya açık kaynaklarda yayınlanması suretiyle gerçekleştirilen veri ihlallerinin artması ile beraber 15 Şubat 2022 tarihinde, veri sorumlularınca alınması gereken idari ve teknik tedbirlere ilişkin bir kamuoyu duyurusu yayımladı.

Kurum, artan ihlallerin idari ve teknik tedbirlerin eksikliklerinden kaynaklandığını belirterek veri sorumlularına aşağıdaki tedbirleri almalarını önerdi:

  • Çift kademeli kimlik doğrulama sistemlerinin kurulması ve alternatif güvenlik önlemi olarak sunulması,
  • Kullanıcıların hesaplarına farklı cihazlardan giriş yapılması halinde giriş bilgilerinin ilgili kişilerin iletişim adreslerine e-posta veya SMS ile iletilmesi,
  • Uygulamaların HTTPS veya aynı güvenlik seviyesini sağlayacak şekilde koruma altına alınması,
  • Güvenli ve güncel karma (hashing) algoritmaların kullanılması,
  • IP adresinden yapılacak başarısız giriş deneme sayısının sınırlandırılması,
  • İlgili kişilerin en az son 5 başarılı ve başarısız giriş denemeleri ile ilgili bilgileri görüntüleyebilmesinin sağlanması,
  • İlgili kişilere aynı parolanın birden fazla platformda kullanılmaması gerektiğinin hatırlatılması,
  • Veri sorumluları tarafından parola politikasının oluşturulması,
  • Kullanıcılara ait parolaların belirli aralıklarla değiştirilmesinin sağlanması veya bu hususun ilgili kişilere hatırlatılması ve yeni oluşturulan parolaların, eski parolalarla (en az son üç parolayla) aynı olmasının engellenmesi,
  • Kullanıcı hesaplarına girişlerde bilgisayar ile insan davranışlarını ayırt edici güvenlik kodu gibi teknolojilerin (CAPTCHA, dört işlem vb.) kullanılması,
  • Erişime izin verilen IP adreslerinin sınırlandırılması,
  • Veri sorumlularının sistemlerine giriş yapılan parolaların uzunluğunun asgari 10 karakter olması, büyük-küçük harf, rakam ve özel karakterlerin bir arada kullanılmasına yönelik güçlü parola oluşturulmasının sağlanması, ve
  • Veri sorumlularının sistemlerine giriş için üçüncü parti yazılımlar veya servisler kullanılıyorsa bu yazılımların ve servislerin güvenlik güncelleştirmelerinin düzenli olarak gerçekleştirilmesi ve gerekli kontrollerin yapılması.

Duyuruya ilişkin detaylı incelememizi içeren bültenimize buradan ve duyuruya buradan ulaşabilirsiniz.

Usul ve Esaslar - Katılım Belgesinin Verilmesine Dair Usul ve Esaslar

Personel Sertifikasyon Mekanizmasina Iliskin Usul ve Esaslar Hakkinda Teblig ("Tebliğ") 6 Aralık 2021 tarihinde yayımlanarak yürürlüğe girmişti. Kurum, 23 Aralık 2021 tarihli ve 2021/1296 sayılı kararı ve Tebliğ kapsaminda veri koruma görevlisi olmak isteyenlere verilecek katilim belgesine iliskin usul ve esaslari ("Usul ve Esaslar") belirledi.

Usul ve Esaslar uyarınca, veri koruma görevlisi olmak isteyen kişilerin toplam 40 saatlik bir eğitimden geçmeleri gerekmektedir. Eğitimi takiben katılımcılar sınava katılır ve 70 puan üzerinde alan katılımcılar sınavda başarılı olmuş kabul edilir. Sınavda başarılı olan katılımcılara eğitim tutanağı ve Kurum tarafından onaylanmış katılım belgesi eğitim kurulunca düzenlenerek verilir.

Tebliğ'e ilişkin detaylı incelememizi içeren bültenimize buradan, Usul ve Esaslar'a ilişkin detaylı incelememizi içeren bültenimize buradan ve Usul ve Esaslar'a buradan ulaşabilirsiniz.

Duyuru - 2022 yılı idari para cezası tutarları

Kurum, 17 Şubat 2022 tarihinde, Kisisel Verilerin Korunmasi Kanunu'nun 18. maddesinde düzenlenen idari para cezalarinin 213 sayili Vergi Usul Kanunu'nun mükerrer 298. maddesi uyarınca yeniden değerleme oranında arttırılmış tutarlarını yayımladı.

2022 yılı için geçerli idari para cezaları aşağıdaki gibidir:

  • Aydınlatma yükümlülüğünün yerine getirilmemesi halinde 13.391 TL'den 267.883 TL'ye
  • Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 40.179 TL'den 2.678.863 TL'ye
  • Kurul kararlarının yerine getirilmemesi halinde 66.965 TL'den 2.678.863 TL'ye ve
  • Veri Sorumluları Sicili'ne kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi halinde 53.572 TL'den 2.678.863 TL'ye

kadar idari para cezası uygulanabilecektir.

Duyuruya buradan ulaşabilirsiniz.

Dünyadan Göze Çarpan Gelişmeler

  • AB: Veri Yasası taslağı yayımlandı

    Avrupa Komisyonu 23 Şubat 2022'de Veri Yasası taslağını paylaştı. Veri Yasası, Veri Yönetimi Yasası ile birlikte Avrupa Veri Stratejisi'nin bir ayağını oluşturuyor. Avrupa Komisyonu, Veri Yasası ile beraber verilere erişimi artırmayı ve verilerin kullanımı için adil bir ortam sağlamayı amaçlıyor.

    Avrupa Veri Stratejisi kapsamında Kasım 2021'de anlaşmaya varılan taslak Veri Yasası, farklı aktörler arasındaki veri paylaşımını düzenleyerek yapay zeka, bilimsel araştırmalar ve mal ve hizmet üretimi gibi çeşitli alanlarda veri kullanımını artırmayı hedefliyor. Veri Yasası aynı zamanda, verilere erişebilecek ve verilerden değer üretebilecek aktörleri düzenliyor.

    Taslak Veri Yasası'na ilişkin detaylı incelememizi içeren bültenimize buradan ve Veri Yasası taslağına buradan ulaşabilirsiniz (İngilizce).
  • AB: Avrupa Dijital Kimlik Cüzdanlarında çevrimiçi danışma platformu

    Avrupa Komisyonu, Haziran 2021'de dijital kimlik cüzdanları da dahil olmak üzere tüm Avrupalılar için güvenilir ve güvenli bir dijital kimlik kullanılmasını teklif etmişti. Söz konusu kişisel dijital cüzdanlar, vatandaşların kendilerini dijital ortamda tanımlamasına ve kimlik bilgilerinin yanı sıra diğer resmi belgeleri elektronik formatta saklamasına ve yönetmesine imkan sağlayacak. Dijital cüzdan aracılığıyla vatandaşlar, çevrimiçi hizmetlere erişmek, dijital belgeleri paylaşmak veya yaş gibi belirli bir kişilik özelliklerini kanıtlamak için kimliklerini veya söz konusu işlem için gerekli olmayan diğer kişisel bilgilerini ifşa etmeden kimliklerini doğrulayabilecek.

    Avrupa Komisyonu, geçtiğimiz günlerde, Avrupa Dijital Kimlik Cüzdanları'nı herkes için pratik bir araç haline getirmek adına, yasama müzakereleri ve Üye Devletler'in gelecekteki sistemin teknik yönleri üzerine çalışmalar yürüttüğü süre boyunca yoruma açık olacak bir çevrimiçi platformu erişime sundu.

    Avrupa Komisyonu'nun basın duyurusuna buradan ulaşabilirsiniz (İngilizce).
  • Birleşik Krallık: Uluslararası Veri Transferi Anlaşması ("IDTA"), Birleşik Krallık Ek Sözleşmesi ve geçiş hükümleri Mart ayında yürürlüğe girecek

    Ingiltere Veri Koruma Otoritesi ("ICO"), 2 Şubat 2022 tarihinde; IDTA, Birleşik Krallık Ek Sözleşmesi ve geçiş hükümlerinin Parlamento'ya sunularak 21 Mart 2022 tarihinde yürürlüğe gireceğini duyurdu.

    IDTA, Birleşik Krallık Ek Sözleşmesi ve geçiş hükümleri; Birleşik Krallık Genel Veri Koruma Tüzüğü ("GDPR") kapsamındaki AB Standart Sözleşme Maddeleri'nin yerine geçecek olup şirketlere, 21 Eylül 2022 tarihine kadar Standart Sözleşme Maddeleri'ne dayalı olarak akdedilen sözleşmeleri güncellemek için 21 Mart 2024'e kadar süre tanındı. Birleşik Krallık'tan veri aktarımı içeren yeni sözleşmelerin ise Birleşik Krallık Ek Sözleşmesi ve IDTA'ya uygun olması gerekiyor.

    Duyuru'ya buradan ulaşabilirsiniz (İngilizce).
  • Birleşik Krallık: ICO video gözetimine ilişkin kılavuz yayımladı

    ICO, kişisel verileri toplamak ve işlemek amacıyla video gözetim sistemleri kullanan kamu kuruluşları ve özel sektör kuruluşlarının, Birleşik Krallık GDPR ve 2018 Veri Koruma Yasası'na uyum sağlamasına yardımcı olmak adına video gözetimi hakkında bir kılavuz yayımladı.

    Kılavuz, yüz tanıma teknolojisi ve makine öğrenimi algoritmalarının kullanımı gibi insanların karar verme süreçlerine yardımcı olabilecek yeni gelişmeleri mercek altına alıyor. Kılavuzdaki tavsiyelerin tümü Birleşik Krallık veri koruma mevzuatının temel ilkelerine dayanıyor ve gözetim sistemlerinin kullanım aşamaları ve uygulamadaki işleyişini takip ediyor.

    Kılavuza buradan ulaşabilirsiniz (İngilizce).
  • Lüksemburg-AB: Avrupa Veri Koruma Kurulu ("EDPB") sertifikasyon kriterlerine ilişkin ilk tutarlılık görüşünü verdi

    EDPB, 2 Şubat 2022 tarihinde Lüksemburg veri koruma otoritesinin GDPR-Sertifikalı Güvence Raporuna Dayalı İşleme Faaliyetleri (CARPA) sertifikasyon planına ilişkin tutarlılık görüşünü açıkladı.

    EDPB Başkanı Andrea Jelinek, sertifika programının, veri sorumlusu ve veri işleyenlerin GDPR ile uyumluluklarını göstermelerini kolaylaştırdığını belirtti. EDPB, Avrupa Ekonomik Alanı'ndaki veri koruma otoriteleri tarafından doğru ve tutarlı bir şekilde uygulanmasını sağlamak adına taslak sertifika kriterlerinde bazı değişiklikler öngördü.

    Duyuru'ya buradan ulaşabilirsiniz (İngilizce).

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Ilay Yilmaz
Ilay Yilmaz
Photo of Can Sozer
Can Sozer
Photo of Ecem Elver
Ecem Elver
Photo of Aybüke Gündel Solak
Aybüke Gündel Solak
Photo of Yigit Acar
Yigit Acar
Photo of Berfu Oztoprak
Berfu Oztoprak
Photo of Ayça Doğu Öztürk
Ayça Doğu Öztürk
Photo of Ecenur Etiler
Ecenur Etiler
Photo of Gizem Nur Giacomini
Gizem Nur Giacomini
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More