Aralık 2023 Bülteni
ISACA İSTANBUL CHAPTER Veri Koruma Bülteni
Yaptırımlar
Kişisel Verileri Koruma Kurulu 31 adet karar özeti yayımladı
- Kişisel Verileri Koruma Kurulu uzun bir aradan sonra farklı sektörlerden veri sorumlularını ilgilendiren 31 adet karar özeti yayımladı. Kurul tarafından yayımlanan karar özetleri arasında kripto varlık hizmet sağlayıcısı platformun ilgili kişinin kimliğinin ön ve arka yüzünün fotoğrafının kendi fotoğrafı ile birlikte talep edilmesi, bir e-ticaret sitesinden alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulması, bir bankanın müşteri temsilcisi ile ilgili kişi arasında gerçekleştirilen görüşmeye ilişkin ses kaydı dökümünün ilgili kişiye sağlanması talebinin yerine getirilmemesi gibi birçok farklı sektörden veri sorumlusunu ilgilendiren kararların bulunduğu görülüyor.
ICO, Afgan tahliye veri ihlali nedeniyle Savunma Bakanlığı’na kişilerin bilgilerini ifşa ettiği için para cezası verdi
- ICO, Taliban’ın 2021’de Afganistan’ın kontrolünü ele geçirmesinden kısa bir süre sonra Birleşik Krallık’a taşınmak isteyen kişilerin kişisel bilgilerini ifşa ettiği için Savunma Bakanlığı’na 350.000 £ para cezası verdiğini duyurdu. Yaptırım, Savunma Bakanlığı’nın tahliyeye uygun Afgan vatandaşlarının dağıtım listesine e-posta gönderirken “to” sekmesiyle mail göndermesi ve 245 kişiye ait kişisel bilgilerin ifşa edilmesinden kaynaklanıyor.
Norveç’en 10 milyon NOK (yaklaşık 850.000 €)para cezası
- Norveç Veri Koruma Otoritesi Datatilsynet, AB Genel Veri Koruma Yönetmeliğini ihlal ettiği iddiasıyla SATS fitness kulübü aleyhine 10 milyon NOK para cezası verdiğini duyurdu. Şirket,n üyelerinden birine ait kişisel verileri şirket grubu içindeki diğer şirketlere ve herhangi bir izin olmaksızın Avrupa Birliği dışındaki Facebook’a aktarması ile eski üyelerinin erişim ve silme taleplerine uymaması gibi birkaç farklı şikayetten kaynaklanıyor.
Veri İhlalleri
23andMe şirketinin veri ihlalinden 6,9 milyon kişi etkilendi
- Geçtiğimiz kasım bülteninde yer vermiş olduğumuz 23andMe ihlalinde de bahsettiğimiz üzere şirketin başlangıçta yaklaşık 14.000 kişinin etkilendiğini bildirmesinin ardından 6,9 milyon kişiyi kapsadığını bildirdi. Yeni keşfedilen ihlalin derinliği, şirketin, verilerinin bir kısmını başkalarıyla otomatik olarak paylaşan rızaya dayalı DNA Akrabaları özelliğini kullanan bireylerin verilerine bilgisayar korsanları tarafından erişildiğini öğrenmesinden sonra geldi.
Comcast, bilgisayar korsanlarının 36 milyona yakın Xfinity müşterisinin verilerini çaldığını söyledi
- TechCrunch haberine göre, küresel bir medya ve teknoloji şirketi olan Comcast, “CitrixBleed” olarak bilinen Citrix ağ güvenliği açığı nedeniyle yaklaşık 36 milyon müşteriyi etkileyen bir siber saldırı yaşadı. Habere göre Comcast, yetkisiz bir aktörün büyük olasılıkla kişisel olarak tanımlanabilir bilgiler de dahil olmak üzere müşteri verilerine erişim sağladığını keşfetti.
Güncel Haberler
CIPL, gizliliği artıran teknoloji kullanımına ilişkin rapor yayınladı
- Küresel merkezli Bilgi Politikası Liderlik Merkezi CIPL, gizliliği artıran ve gizliliği koruyan teknolojilerin kullanımına ilişkin bir çalışma yayınladı. Araştırmacılar, birçok şirket ve otoritenin ürünler konusunda eğitim eksikliği olduğunu ve maliyetli uygulamanın ürünlerin kullanımına engel teşkil edebileceğini tespit etti. CIPL, kuruluşlara PET’lerin faydalarının yanı sıra sektör için daha fazla standart tanınması çağrısında bulundu.
Google, üçüncü taraf çerezlerinin ilk kullanımdan kaldırılacağı tarihi duyurdu
- Mediapost haberine göre, Google, Chrome tarayıcısının üçüncü taraf çerezlerini engelleyen ve siteler arası izlemeyi sınırlandıran bir özelliği 4 Ocak 2024’ten itibaren test etmeye başlayacağını duyurdu. Chrome kullanıcıları, tarayıcıdaki İzlenme Koruması girişimiyle ilgili sorunlar olması durumunda 90 gün boyunca üçüncü taraf çerezlerini etkinleştirme seçeneğine sahip olacak. Çerezlerin tamamen ortadan kaldırılması 2024’ün ikinci yarısında planlanıyor.
Çin, veri ihlallerini gidermek için taslak acil durum planı yayınladı
- Çin Sanayi ve Bilgi Teknolojileri Bakanlığı, yerel yönetimlerin ve işletmelerin bir veri güvenliği olayıyla karşılaştıklarında nasıl tepki vermeleri gerektiğine ilişkin bir taslak plan yayınladı. Teklif, saldırının ciddiyetine bağlı olarak farklı eylem seviyelerine sahip dört katmanlı bir sistem içeriyor.
Tayland PDPC, DPO gereklilik formlarını yayınladı
- Tayland Veri Koruma Otoritesi PDPC, Kişisel Verilerin Korunması Kanunu kapsamında veri koruma görevlisi atamasına ilişkin iki başvuru formu yayınladı. Komite, DPO atamalarını raporlamaya ve kaydetmeye yönelik, bir de DPO atamasının PDPA ile uyumlu olmasını sağlamaya yönelik değerlendirme formu yayınladığını bildirdi.
ICO istihdamla ilgili verilerin korunmasına yönelik kılavuzu yayınladı
- Birleşik Krallık Bilgi Komiserliği ICO, istihdam uygulamaları ve veri koruma konusunda konuya özel rehberlik içeren çevrimiçi bir kaynak hazırladıklarını duyurdu. Duyuruda istihdam ve iş kayıtlarının tutulması ve işe alma ve seçme başlıklarında farklı konu alanlarına ilişkin taslakların yayınlandığı görülüyor. Her iki maddeye ilişkin kamuya açık görüşlerin 5 Mart 2024’te sona ereceğini belirtildi.
California Gizliliği Koruma Ajansı Kurulu CPPA, internet tarayıcılarının devre dışı kalma sinyalleri sunmasını gerektiren öneriyi onayladı
- California Gizliliği Koruma Ajansı KuruluCPPA, internet tarayıcılarının, kullanıcıların kişisel bilgilerinin paylaşılması ve satılmasından vazgeçme haklarına ilişkin bildirimde bulunmasını gerektiren bir yasa teklifini onayladı. Kurula göre yasa, onaylandığı takdirde kullanıcıların yalnızca bir kez tercih sinyali yoluyla devre dışı kalmayı seçmeleri gerektiği anlamına geliyor.
Utah,31 Aralık’ta tüketici gizliliği yasasının yürürlüğe gireceğini duyurdu
- Utah Başsavcılığı, eyaletin Kişisel Bilgilerin Korunması Yasası 31 Aralık’ta yürürlüğe girdiğinde işletmelerin ve tüketicilerin ne beklemeleri gerektiğine ilişkin güncellenmiş yönergeler yayınladı. Yasa, işletmelerin kullanıcıların gizliliğini korumak için veri güvenliği uygulamalarını uygulamasını gerektiriyor ve tüketicilerin bu hakka sahip olduğu belirtiliyor.
NIST, diferansiyel gizlilik konusunda kılavuz yayınladı
- NIST, gizliliği artırıcı bir önlem olarak farklı mahremiyetin kullanılmasına yönelik bir kılavuz yayınladı. ABD Başkanı Biden’ın Yapay Zekanın Güvenli, Emniyetli ve Güvenilir Geliştirilmesi ve Kullanımına İlişkin Yönetici Emri’ne yanıt olarak oluşturulan kılavuzun kanun koyucular, işletme sahipleri, ürün yöneticileri, BT teknisyenleri ve yazılımcılar gibi birçok farklı sektörden kişi, kurum ve uygulayıcıya yardımcı olmayı amaçladığı belirtildi.
Singapur sağlık sektörü sağlık hizmeti sağlayıcıları için siber güvenlik yönergelerini yayınladı
- Singapur Sağlık Bakanlığı ve Singapur Siber Güvenlik Ajansı, sağlık hizmeti sağlayıcıları için siber güvenlik yönergeleri yayınladı. Yönergeler, verilerin uygun şekilde güvence altına alınmasının, yazılımın güncellenmesinin ve hassas verilerin ihlal edilmesi durumunda planlı bir yanıt oluşturmanın önemini vurgulamaktadır. Sağlık Bakanlığı, “sağlık bilgilerinin güvenli ve emniyetli bir şekilde toplanmasını, erişimini, kullanımını ve paylaşımını yönetmek” amacıyla 2024 yılında Sağlık Bilgi Yasa Tasarısını çıkarmayı planlıyor.
Dünyanın ilk Yapay Zeka Yasası kabul edildi
- Dünyanın ilk Yapay Zekâ Yasası Avrupa Birliği tarafından kabul edildi. AB Konseyi, AB üye ülkeler ile Avrupa Parlamentosu arasında uzun tartışmalara neden olan yapay zekaya ilk kapsamlı kuralları getiren “Yapay Zekâ Yasası” konusunda anlaşma sağlandı. Avrupa Komisyonu, 21 Nisan 2021’de yapay zekâ kullanımını düzenleyen bir yasa teklifi sunmuştu ve Aralık 2022’de yasa teklifine ilişkin üye devletler (AB Konseyi) tutumunu açıklamıştı. Avrupa Parlamentosu, 14 Haziran 2023’te oylamayı gerçekleştirdi ve yasa tasarısı çoğunluğun oyuyla kabul edildi. Sonrasında ise üye devletler bir araya gelerek, yasanın ortak metni üzerinde uzlaşma sağladı. Müzakereler sonucunda yasal düzenlemenin 2024 yılından itibaren yürürlüğe girmesi bekleniyor.
TBMM Dijital Mecralar Komisyonu, 7 Aralık’ta TikTok’un yasaklanmasıyla ilgili toplandı
- TBMM Dijital Mecralar Komisyonu Başkanı tarafından toplantıda yaptırım konusuna değinildi. TikTok’a kınama cezası, bant daraltma cezası, reklam yasağı dahil olmak üzere cezalar verilebiliceği dile getirildi. Komisyon olarak böyle bir yetkilerinin olmadığını ancak teklif edebilme haklarının olduğunu ve bunları komisyonda değerlendireceklerini söylediler.
Tags
Yazar Hakkında
