KVKK Bülteni 13. Sayı



İÇİNDEKİLER


KURUM ve YARGI KARARLARI

1- Hollanda Veri Koruma Kurumu, booking.com’a $560.000 Değerinde Ceza Verdi

2- Kişisel Verileri Koruma Kurulu, İlgili Kişinin, Bilet Satın Almamasına Karşın Bir Havayolu Şirketinden Uçak Bileti Satın Aldığına Dair Sms Alması Hakkında Karar Verdi

3- Kişisel Verileri Koruma Kurulu, Site Yönetiminin, Kiracının Borç Bilgilerini Ev Sahibi ile Paylaşmasını Kanuna Uygun Buldu

4- Kişisel Verileri Koruma Kurulu Avukatın, Banka Adına Borç Takibinde, Borçlunun Kız Kardeşini Aramasını Uygun Buldu


GÜNCEL HABERLER

1- İngiltere Eski Çocuk Komisyonu Üyesi, TikTok’a Dava Açtı

2- Bir Siber Güvenlik Şirketinin Sızma Testi Yaptığı Firmaların Test Sonuçları Sızdırıldı

3- Linkedln ve Facebook Kullanıcıları Dikkatine Veriler Sızdırıldı

4- Yemeksepeti Kullanıcılarının Verilerinin Çalınmasında Yeni Gelişme


KURUM ve YARGI KARARLARI




Hollanda Veri Koruma Kurumu, booking.com’a $560.000 Değerinde Ceza Verdi

Booking.com’da 2018 yılında, bir veri sızıntısı meydana gelmiş ve 4100 kullanıcının kimlik ve finansal bilgileri ifşa olmuştu. Ancak, booking.com, bu veri ihlalini ancak 13 Ocak 2019’da fark etmiş ve Kuruma 7 Şubat 2019’a kadar bildirmemişti. GDPR’a(General Data Protection Regulation) göre ise veri ihlallerinin fark edilmesinden itibaren 72 saat içinde bildirilmesi gerekmektedir. Bu kuralın ihlal edilmesi sebebiyle Hollanda Veri Koruma Kurumu, booking.com’a $560.000 değerinde ceza verdi.(1)




Kişisel Verileri Koruma Kurulu, İlgili Kişinin, Bilet Satın Almamasına Karşın Bir Havayolu Şirketinden Uçak Bileti Satın Aldığına Dair Sms Alması Hakkında Karar Verdi


Şikayet konusu olayda, ilgili kişinin cep telefonuna havayolu şirketinden bilet aldığına ilişkin SMS gelmiştir. Başvuran, bilet almamış olmasına karşın kendisinin kimlik ve iletişim bilgilerini kimlerin işlediğine ilişkin bilgi almak istemiştir. Havayolu şirketi ise başvuranın yalnız telefon numarası bilgisinin işlendiğini, üçüncü bir kişinin bileti hakkında bilgilendirme mesajı almak içn ilgili kişinin cep telefonu numarasını verdiğini belirtmiştir. Nitekim, biletin PNR numarası ile görülen kişisel veriler ile ilgili kişinin kişisel verileri eşleşmemektedir. Kurul, kişisel verilerin kimliği belirli veya belirlenebilir kılan veriler olduğundan hareketle sehven yazılmış bu numaranın, havayolu şirketinde ilgili kişinin kaydı olmadığından kimliğiyle eşleştirilemediğine, biletteki kişisel verilerin ilgili kişiye ait olmadığına, numara ve kimliği eşleştirebilecek bir system bulunmadığından idari ve teknik tedbirler bağlamında bir eksiklik olmadığına; ayrıca, havayolu şirketinin Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun bir şekilde cevap vermesi hususunda talimatlandırılmasına karar vermiştir.(2)






Kişisel Verileri Koruma Kurulu, Site Yönetiminin, Kiracının Borç Bilgilerini Ev Sahibi ile Paylaşmasını Kanuna Uygun Buldu

İlgili kişi, site yönetiminin aidat borcu bilgilerini izinsiz bir şekilde ev sahibi ile paylaştığından dolayı Kurum’a şikâyette bulunmuştur. Herhangi bir aydınlatma yapılmadığı ve açık rıza alınmadan borç bilgilerinin paylaşıldığını belirtmiştir. Site yönetimi ise borç bilgilerinin ev sahibinin talebi doğrultusunda paylaşıldığını belirtmiştir.


Kurul yaptığı değerlendirmede, 634 sayılı Kat Mülkiyeti Kanununun “Ortak Giderlerin Teminatı” başlığını hâiz 22’nci maddesine atıfta bulunmuş ve ev sahibi ile kiracının ortak giderler ve gecikme tazminatından müştereken ve müteselsilen sorumlu olduğunu belirtmiştir. Bu sebeple hem site yönetiminin hem de ev sahibinin aidat borç bilgisi paylaşılmasında menfaati olduğundan ve KVKK’nın 5. Maddesine uygun bir veri işleme faaliyeti yapıldığından Kurul, herhangi bir idari para cezasına hükmetmemiştir.(3)






Kişisel Verileri Koruma Kurulu Avukatın, Banka Adına Borç Takibinde, Borçlunun Kız Kardeşini Aramasını Uygun Buldu

İlgili kişi, kız kardeşinin kendi borçları sebebiyle bankanın sözleşmeli avukatı tarafından aranmasından dolayı bankayı ve avukatı Kuruma şikâyet etmiştir. Avukat savunmasında, ilk olarak banka çalışanlarının borçlu kişileri aradıklarını, ödeme olmaz ise yasal işlemlerin başlatılmasının talep ettiklerini, borçluların iletişim numaralarını da banka tarafından gönderildiğini belirtmiştir. Ayrıca, iletişim numarasının kız kardeşe ait olduğu anlaşıldıktan sonra hemen silindiğini belirtmiştir. Banka ise alternatif numaralar ile aranmak suretiyle farklı numaraları kaydettiğini savunmasında belirtmiştir.

Kurum, bankanın ve avukatın veri sorumlusu olduğunu, bankanın alternatif numaralarla aranması sonucunda iletişim numaralarını kaydetmesinin Kanuna uygun bir veri işleme faaliyeti olmadığını belirtmiştir. Avukatın ise Avukatlık Kanunundan kaynaklanan yükümlülüklerini yerine getirdiğini, banka tarafından gönderilen telefon numarasının borçluya ait olmadığını ilk aramada bilemeyeceği, arama yapıldıktan sonra bankaya, ilgili kişinin kız kardeşine ait bir telefon numarası olduğunu bildirmesinden dolayı herhangi bir idari para cezasına hükmetmemiştir. Banka ise 175.000 TL idari para cezası ile cezalandırılmıştır.(4)



GÜNCEL HABERLER




İngiltere Eski Çocuk Komisyonu Üyesi, TikTok’a Dava Açtı

Dünya genelinde 800 milyondan fazla kullanıcısı olan TikTok hakkında, İngiltere Eski Çocuk Komisyonu Üyesi Anne Longfield, çocukların kişisel verilerinin işlenmesine ilişkin olarak yeterli aydınlatma yapmadığı ve gerekli rıza beyanları bulunmadan veri işlediği için dava açtı. TikTok’un hangi amaçlarla veya hukuki sebebe dayanarak işlediği bilinmeksizin çocukların iletişim ve kimlik bilgilerinden biyometrik verilerine kadar çeşitli kişisel verilerini işlediği iddia ediliyor.(5)





Bir Siber Güvenlik Şirketinin Sızma Testi Yaptığı Firmaların Test Sonuçları Sızdırıldı

Bir siber güvenlik şirketinin hizmet verdiği, içlerinde kamu kurumları da olan 17 önemli organizasyona ait sızma testi sonuçları ifşa oldu. Ancak şirketten yapılan açıklamalara göre, söz konusu test sonuçları güncel değil ve ifşa edilmiş olmasının olumsuz bir sonucu görülmedi. Buna göre, sonuçlardaki açıkların artık mevcut olmadığı şirket yetkililerince teyit edildi.(6)





Linkedln ve Facebook Kullanıcıları Dikkatine Veriler Sızdırıldı

Linkedln’den yapılan açıklamaya göre yaklaşık 500 milyon kullanıcının verisi sızdırıldı. Aynı şekilde Facebook’da ise 533 milyon kullanıcının verileri hackerlar tarafından çalındı. Kullanıcıların verileri ise “Dark Web” olarak da bilinen ağ üzerinde satışa sunuldu. ABD, İngiltere, Hindistan ve Türkiye’nin de içinde bulunduğu tam 106 ülkeden kullanıcıların konum, telefon numarası, doğum tarihi, e-posta adresi gibi kişisel verileri ifşalandı.


Linkedln, sızdırılan verilerin halka açık, kullanıcıların profillerinden ulaşılabilen veriler olduğunu belirtse de henüz bir doğrulama yapılmadı. Facebook’un kurucusu ve CEO’su olan Zuckenberg’in bilgilerinin de çalındığı ilgili kişiler tarafından açıklandı. Kişisel Verileri Koruma Kurumu, Facebook hakkında re'sen inceleme başlatsada, Linkedln hakkında henüz herhangi bir soruşturma açmamıştır.(7)





Yemeksepeti Kullanıcılarının Verilerinin Çalınmasında Yeni Gelişme

Geçtiğimiz ay büyük sansasyonel haber yaratan Yemeksepetine siber saldırı sonucunda 21 milyondan fazla kullanıcının verileri çalınmıştı. Üstelik Yemeksepeti veri ihlal bildirimini, 72 saatti geciktirerek gerçekleştirmişti. Yemeksepeti’nden yapılan açıklamada kredi kartı bilgilerinin çalınmadığı söylense de Dark Web üzerinden kullanıcıların çalınan bütün bilgilerinin satıldığı medya tarafından aktarılmıştı.

Hal böyle iken KVKK’nın ve BTK’nın nasıl bir aksiyon alacağı soru işaretiydi. Son gelişmelere göre KVKK ve BTK Yemeksepeti’ne en üst sınırdan ceza vermeyi planlıyor. Buna göre Yemeksepeti KVKK’dan yaklaşık 2 milyon TL ve BTK’dan 1 milyon TL ceza alacak.(8)



KAYNAKÇA

(1) https://portswigger.net/daily-swig/booking-com-fined-560-000-for-gdpr-data-breach-violation

(2) (Kişisel Verileri Koruma Kurulunun 11/08/2020 tarihli ve 2020/608 sayılı Karar Özeti)

(3) https://www.kvkk.gov.tr/Icerik/6955/2020-755

(4) https://www.kvkk.gov.tr/Icerik/6928/2021-115

(5) https://www.bbc.com/news/technology-56815480

(6) https://www.airlinehaber.com/thy-dahil-17-kurumun-bilgileri-sizdirildi/

(7) https://www.hurriyet.com.tr/ekonomi/linkedln-kullanicilari-dikkat-sifre-degistirme-uyarisi-geldi-41784339

(8) https://www.hurriyet.com.tr/ekonomi/linkedln-kullanicilari-dikkat-sifre-degistirme-uyarisi-geldi-41784339


YAZAR

Bilgi Teknolojileri Ekibi