Ocak 2023 Bülteni
ISACA İSTANBUL CHAPTER KİŞİSEL VERİLERİN KORUNMASI HAKKINDA BÜLTEN
- Gizlilik ve mahremiyete ilişkin gelişmeler açısından dopdolu geçen bir yılın ardından 2023’ün ilk günlerinde İrlanda Veri Koruma Otoritesi (DPC) tarafından Meta’ya toplamda 390 milyon € para cezası verildi. Meta’nın Facebook ve Instagram hizmetlerinin sunumuna ilişkin ilgili yürütülen soruşturmalar her biri temelde aynı sorunları dile getiren iki farklı şikâyet üzerine başladı. Karara göre şirket, kullanıcılara kişiselleştirilmiş veya davranışsal reklamlar sunmak için bireylerden daha önce bilgilendirilmiş onay almaktaydı. Ancak GDPR’ın yürürlüğe girdiği 2018 yılında hizmet şartlarında yaptığı güncellemeyle yasal dayanağını değiştirdi ve kullanıcılarını verilerinin reklam amacıyla işlenmesini kabul etmeye zorlamış oldu. DPC bu aykırılık üzerine Meta Ireland’a Facebook için 210 milyon, Instagram içinse 180 milyon € para cezası verdi.
- WhatsApp, veri koruma yasasını ihlal ettiği için İrlanda Veri Koruma Otoritesi tarafından 5.5. milyon € para cezasına çarptırıldı. Meta şirketlerinden Facebook ve Instagram’a verilen toplamda 390 milyon € tutarındaki cezanın ardından WhatApp hakkında da kardeş şirketlerine benzer şekilde kullanıcıları hizmet koşullarındaki değişiklikleri kabul etmeye zorlamaya çalışmak ve şeffaflık yükümlülüklerine aykırılıktan dolayı yaptırım uygulandı. Şirketin aynı zamanda veri işleme faaliyetlerini GDPR’a uygun hale getirmek için 6 aylık bir süresi var. Otorite, WhatsApp’a yükümlülüklerini yerine getirememekten dolayı halihazırda 225 milyon Euro para cezası verdiği için bu sefer para cezasının nispeten daha düşük tutulduğunu belirtti. Bu cezayla birlikte Meta hakkında İrlanda Veri Koruma Otoritesi tarafından verilen ceza miktarı 1,3 milyar € ‘ya ulaşmış oluyor.
- Fransız Veri Koruma Otoritesi (CNIL), Apple’a iPhone işletim sisteminin 14.6 sürümünde App Store’u ziyaret eden kullanıcılara ilişkin tanımlayıcıları önceden izin almaksızın topladığı için 8 milyon € para cezası verdi. CNIL’e göre para cezasının miktarı App Store ile sınırlı işlemenin kapsamı, bu uygulamadan Fransa’da etkilenen kişi sayısı ile şirketin bu tanımlayıcılar aracılığıyla toplanan verilerden elde ettiği kar miktarı değerlendirilerek kararlaştırıldı.
- Finlandiya Veri Koruma Otoritesi, çalışanlarının sağlık verilerini hukuka aykırı işlediği gerekçesiyle Viking Line şirketine 230.000 € idari para cezası verdi. Eski bir çalışanın yaptığı şikâyete göre şirket, çalışanların sağlık verilerini 20 yıldır bir insan kaynakları sisteminde tutuyor ve bazı bilgileri hatalı şekilde muhafaza ediyordu. Çalışanlarını kişisel verilerinin işlenmesi konusunda uygun şekilde bilgilendirmediği ve çalışanlarına ait hatalı verileri hatırı sayılır bir süre boyunca sakladığı tespit edilen şirkete çeşitli veri koruma mevzuatı ihlalleri nedeniyle idari para cezasıyla birlikte kınama cezası verildi.
- Fransa Veri Koruma Otoritesi CNIL, kullanıcılara çerezleri reddetme fırsatının kabul etme imkanıyla eşdeğerde sunulmamış olması nedeniyle TİKTOK’a 5 Milyon € para cezası verdi. Karara göre Tiktok, platform üzerinde kullanıcılara çerezlerin anında kabul edilmesini sağlayan bir izin mekanizması sunmasına rağmen bunları reddetmek için eşdeğer bir imkan sunmuyordu. Ayrıca kullanıcıların çerezlerin amaçları hakkında yeterince bilgilendirilmediği belirtildi.
- Google, arama motorunun sorgularını izinleri olmadan reklamcılarla veya diğer üçüncü taraflarla paylaştığını iddia eden tüketiciler tarafından açılan ve uzun süredir devam etmekte olan davada 23 milyon $ ödemeyi kabul etti. Dava, bir kullanıcının Google arama sonuçlarındaki bir bağlantıya tıkladığında sitenin girilen terimleri üçüncü taraflarla paylaştığını ve potansiyel olarak arama yapan kişinin bilgilerini ifşa ettiğine ilişkin tüketici iddiaları üzerine açılmıştı. Uzlaşma mahkeme onayını bekliyor.
- E-posta pazarlama ve haber bülteni devi Mailchimp, bir sosyal mühendislik saldırısına uğradığını ve düzinelerce müşterinin verilerinin açığa çıktığını açıkladı. Şirket tarafından yapılan bilgilendirmeye göre, yetkisiz bir kişi şirketin çalışanları ve yüklenicilerine yönelik gerçekleştirdiği sosyal mühendislik yöntemiyle müşteriyle yüz yüze görüşen ekipler tarafından müşteri desteği ve hesap yönetimi için kullanılan araçlardan birine yetkisiz bir kişinin erişim sağladı ve bu ihlalden 133 Mailchimp hesabı etkilendi. Bu Mailchimp’in 2023 yılı içindeki ilk saldırısı olsa da uzun zamandır karşılaştığı ilk ihlal değil. Şirket, 2022 yılının Ağustos ayında da müşteri destek personelinin kimlik bilgilerini tehlikeye atan ve davetsiz misafirlerin Mailchimp’in dahili araçlarına erişmesine izin veren bir sosyal mühendislik saldırısına uğradığını söylemişti.
- Fransız Veri Koruma Otoritesi CNIL, mobil uygulama geliştiricisi Voodoo’ya kullanıcıların rızası olmaksızın reklam yapmak için teknik tanımlayıcı (IDFV) kullanması nedeniyle 3 milyon € para cezası uyguladı. CNIL, Voodoo ve diğer birkaç iPhone uygulamasında gerçekleştirdiği kontrollerin artından uygulamanın kullanıcı tarafından açıkça reddedilmiş olsa bile teknik tanımlayıcılar aracılığıyla reklam amacıyla izlenmeye devam ettiğini tespit etti. Şirket, idari para cezasına ek olarak 3 ay içinde teknik tanımlayıcıların reklam amaçlı kullanımını kullanıcı rızasına bağlamazsa gecikme başına 20.000 € ödemek zorunda kalacak.
- Kişisel Verileri Koruma Kurumu (KVKK) 2023 yılı için uygulanacak güncel idari para cezası miktarlarını paylaştı. Buna göre yeniden değerleme oranlarıyla birlikte 2023 yılı itibariyle kişisel verilerin korunması düzenlemelerine aykırılık nedeniyle verilebilecek idari para cezası yaptırım aralığı aykırılığın türüne göre 29.582 TL ile 5.971.989 TL aralığında değişecek.
- Portekiz Veri Koruma Otoritesi CNPD, Portekiz Ulusal İstatistik Enstitüsü’ne nüfus sayımı kurallarını ihlal ettiği için 4,3 milyon € para cezası verdi. Karara göre bir kamu kuruluşu olan Portekiz Ulusal İstatistik Enstitüsü (INE) tarafından bireyler, kendilerine gönderilen çevrimiçi anket ile din ve sağlık bilgilerini de içeren birçok soruyu yanıtlamak zorunda tutuldu. Ayrıca ilgili faaliyete ilişkin, veri işleme faaliyetine başlamadan önce bir veri koruma etki değerlendirmesi (DPIA) yapmamış olan kurum, kullanıcılara detaylı bir bilgilendirme yapmadığı için şeffaflık yükümlülüğüne de aykırı davranmış olduğu belirtildi.
- Ocak ayı içerisinde Kişisel Verileri Koruma Kurumu’na toplamda 4 milyondan fazla kaydın etkilendiği 3 adet veri ihlal bildirimi yapıldı. Bildirimlere göre veri ihlaline neden olan olay veri sorumlusu tarafından personel ve muhasebe işlemleri için kullanılan programın bir şubede kurulumu sırasında kısa süreli port açıklığı sebebiyle siber saldırıya uğraması şeklinde meydana geldi. İhlalden etkilenen kişisel veriler arasında çalışanlar ve hastalara ait ad-soyad, T.C. kimlik numarası, adres, fotoğraf, mesleki bilgiler, kan grubu bilgisi bulunuyor.
- Uluslararası siber güvenlik ve yazılım şirketi NortonLifeLock (Gen Digital), Ocak ayı ortasında müşterilerine stuffing attak saldırısı nedeniyle 6.000’den fazla müşteri hesabının ihlal edildiğini duyurdu. Şirket, güvenliğin ihlal edilmiş olabileceğine inandıkları hesaplara bildirim göndererek parolaların değiştirilmesi ve iki faktörlü kimlik doğrulamanın etkinleştirilmesi yönünde bilgilendirme yaptı.
- Pay Pal’ın 18 Ocak tarihinde yaptığı güvenlik ihlal bildirimine göre saldırganlar tarafından kimlik bilgisi doldurma saldırısı yoluyla binlerce kullanıcı hesabına yetkisiz erişim sağlandı. Bildirimde “isim, adres, sosyal güvenlik numarası, bireysel vergi numarası ve doğum tarihi” dahil olmak üzere ilgili kişilerin kişisel verilerine erişim sağlanmış olabileceğini belirtildi. Şirket, ihlalden etkilenen müşterilerine Equafix tarafından sağlanan kimlik izleme hizmetlerine iki yıl ücretsiz erişim sağladığını duyurdu.
- Twitter’ın 235 milyondan fazla kullanıcının e-posta adreslerini çaldırdığı iddia ediliyor. Bir güvenlik araştırmacısının yaptığı açıklamaya göre bilgisayar korsanları 235 milyondan fazla twitter kullanıcısının e-posta adreslerini ele geçirdi ve bunlar çevrimiçi bir platformda yayınlandı.
Tags
Yazar Hakkında
