Haziran 2023 Bülteni
ISACA İSTANBUL CHAPTER Veri Koruma Bülteni
Yaptırımlar
FTC’den Microsoft’a çocuklara yönelik veri ihlalleri nedeniyle 20 milyon $ ceza
- ABD Federal Ticaret Komisyonu FTC, Xbox oyun sistemiyle ilgili olarak Çocukların Çevrimiçi Gizliliğini Koruma Yasası’nı (COPPA) ihlal ettiği iddiasıyla Microsoft’a 20 milyon $ para cezası verdi. FTC yaptırım uygularken Microsoft’un COPPA ihlaliyle ilgili olarak 13 yaşından küçük çocuklardan, ebeveynlerine bilgi verilmeksizin ve onayları alınmaksızın kişisel bilgilerin toplanması, çocuklardan topladığı bilgileri ve bu bilgilerin toplanma sebebini ebeveynlere bildirmemesi ve bazı verileri üçüncü kişilere açıklamış olması ve çocukların kişisel bilgilerini makul olarak gerekenden daha uzun süre saklaması şeklindeki üç temel eylemine odaklandı.
CNIL’den çevrimiçi reklam şirketine 40 milyon € para cezası
- Fransa Veri Koruma Otoritesi CNIL, çevrimiçi reklam şirketi Criteo’ya GDPR ihlalleri nedeniyle 40 milyon €para cezası verdi. CNIL tarafından uygulanan yaptırım nedenleri arasında bilgi verme ve şeffaflık yükümlülüklerine uyulmaması, erişim hakkına saygı gösterilmemesi ve rızayı geri çekme ve veri silme ilkelerinin ihlali ile bireylerin veri işleme konusundaki onaylarını doğrulanmaması yer alıyor.
Amazon 30,8 milyon $ ödeyecek
- ABD Federal Ticaret Komisyonu FTC, Çocukların Çevrimiçi Gizliliğini Koruma Yasası’nı (COPPA) ihlal ettiği ve çocukların Alexa ses asistanı tarafından kaydedilen ses ve konum verilerini uzun yıllar boyunca saklayarak ebeveynleri aldattığı yönündeki iddialara ilişkin olarak Amazon’a 25 milyon $ ödeme emri verdi. FTC ayrıca Şubat 2018’de Amazon tarafından satın alınan ve internet bağlantılı, video özellikli ev güvenlik kameraları, kapı zilleri ve ilgili aksesuar ve hizmetler sunan California merkezli Ring LLC ile ilgili emrini de duyurdu. Emir uyarınca Ring’in tüketici videolarına yasa dışı bir şekilde erişerek kâr elde etmesi yasaklanacak, tüketici geri ödemelerinde 5,8 milyon $ödeyecek.
ABD Federal İletişim Komisyonu’ndan rıza dışı otomatik aramalara 5,1 milyon $ ceza
- ABD Federal İletişim Komisyonu FCC, lobicilik danışmanlığı JM Burkman & Associates’e, bireylerin rızası olmadan 1.141 adet istenmeyen aramayı yönlendirmiş olması nedeniyle 5.134.500$ para cezası verdiğini duyurdu. Karara göre, çağrılar bireyleri ilgili kişisel verilerin toplanacağını ve vadesi geçmiş yasal izinler ve kredi kartı borçları için bireylerin izini sürmek için kullanılacağını düşünerek yanıltıyordu.
Garante kürtajla ilgili mahremiyet ihlaleri nedeniyle 415.000 € para cezası verdi
- İtalyan Veri Koruma Otoritesi Garante, kürtaj yaptırmış kişilerin hassas kişisel verilerinin ihlal edilmiş olması nedeniyle Roma belediye meclisi ve mezarlıklar kurumuna toplam 415.000 avro para cezası verdi. 2020’de hamileliklerini sonlandıran bir grup kadının Roma’nın Flaminio-Prima Porta mezarlığında bir mezar yerinde kendi adlarını taşıyan plaketler bulmasıyla ortaya çıkan olayda Garante, kürtaj yapılan fetüslerin mezar taşlarında annelerin isimlerini izinsiz olarak ifşa edilmesini bir veri ihlali olarak kabul ederek yaptırım uyguladı.
Ontario hastanesi veri ihlali nedeniyle 988.000 $ ödeyecek
- Global News haberine göre, Ontario merkezli Peterborough Bölge Sağlık Merkezi eski çalışanlar tarafından sağlık verilerine yanlış şekilde erişilmesiyle ilgili toplu bir davada 988.000 $ tutarında anlaşmaya vardı. Habere göre 2011 ile 2012 yılı başlarında eski hastane çalışanları yaklaşık kürtaj kayıtları dahil olmak üzere 280 hastanın sağlık verilerine uygunsuz şekilde erişti. Hastane tarafından yapılan açıklamada, “PRHC hasta mahremiyetini çok ciddiye alıyor ve tıbbi kayıtlara uygunsuz erişim konusunda sıfır tolerans politikası var” denildi.
Veri İhlalleri
KVKK vatandaş kişisel verilerinin kamu kurumlarından sızdırılması hakkında duyuru yayınladı
- Kişisel Verileri Koruma Kurumu, muhtelif haber kanalları ve sosyal medya platformlarında yer alan vatandaşların kişisel verilerinin kamu kurumlarından sızdırıldığına yönelik çeşitli haberlere ilişkin bir duyuru yayınladı. Kurum, duyurusunda 15 Haziran itibariyle veri sorumlularından intikal eden 1001 adet veri ihlali bildiriminin yanında Kurul tarafından resen incelemeye alınan 107 adet veri ihlali ile birlikte toplam 1108 adet veri ihlali inceleme konusu bulunduğunu ve bu inceleme konularının büyük çoğunluğu sonuçlandırıldığını belirterek kamu kurumlarından intikal etmiş olan herhangi bir veri ihlali bildirimi bulunmadığını belirtti.
Arçelik veri ihlal bildirimi yayınladı
- Arçelik A.Ş. tarafından Kurul’a yapılan veri ihlal bildirimine göre, Arçelik Bizbize mobil uygulama ve internet sitesinin barındırıldığı tedarikçi sistemlerinde tespit edilen bir güvenlik zafiyeti dolayısıyla kişisel verilere yetkisiz erişim sağlandığı ve Almanya’da görünen bir IP adresine kişisel verilerin alındığının tespit edildiği, ihlalden bayi ve yetkili servis kişilerine ait Kimlik (ad, soyadı, TCKN, unvan, doğum tarihi, cinsiyet), İletişim (elektronik posta adresi, GSM numarası), İşlem Güvenliği (LDAP (Lightweight directory access protocol) kodu (verinin tutulması ve erişim doğrulaması için kullanılan koddur) ve kullanıcı şifresi, kayıt ve güncelleme tarihi, son giriş tarihi, hesabının aktiflik durumu, cihaz modeli, versiyonu ve işletim sistemi bilgisi, uygulama versiyon bilgisi, bildirim izin durumu), Diğer (sistem kapsamında, bayi ve yetkili servis çalışanlarının puan kazanım ve harcama bilgileri, uzmanlık, eğitim, işe başlama tarihi, ilgili kişinin şahsi bilgileri olmamakla beraber çalışmakta olduğu bayi ve mağazasının kodu, adı ve adresi) verilerin etkilendiği belirtildi.
Bilge Adam Yazılım ve Teknoloji A.Ş. veri ihlal bildirimi yayınladı
- Bilge Adam Yazılım ve Teknoloji A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde, şirkete karşı gerçekleştirilen oltalama saldırısı neticesinde şirketin 3 personelinin bilgisayarına erişildiği bu bilgisayarların fidye yazılımı ile şifrelendiği, erişim sağlanan bilgisayarlarda çalışan ve çalışan adaylarına ait verilerin tutulduğu, ihlalden etkilenen kişisel verilerin ad, soyad, TC kimlik numarası ve işyeri sicil numarası olduğu ve kişi sayısının henüz tam olarak tespit edilemediği belirtildi.
Tıp Evi Sağlık Hizmetleri Ticaret Limited Şirketi veri ihlal bildirimi yayınladı
- Tıp Evi Sağlık Hizmetleri Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde, ihlalin veri sorumlusunun anlaşmalı olduğu bir şirkete siber saldırı düzenlenmesi neticesinde gerçekleştiği ve saldırı sonucu verilere ulaşılamadığı, ihlalden etkilenen kişi sayısı ve grupları henüz tam olarak bilinmemekle birlikte özlük bilgileri ile özel nitelikli kişisel verilerden olan sağlık verilerinin etkilendiği belirtildi.
OSDS Su Arıtma Sistemleri San. Tic. Ltd. Şti. veri ihlal bildirimi yayınladı
- OSDS Su Arıtma Sistemleri San. Tic. Ltd. Şti, Kurula ilettiği veri ihlal bildiriminde şirketin 26-27 Mayıs 2023 tarihlerinde müşterilerine dolandırıcılık amaçlı olduğunu düşünülen ve bir link içeren SMS gönderildiğini, yetkisiz kişiler tarafından 45.228 adet SMS gönderildiği ve ihlalden müşteri ve potansiyel müşterilere ait iletişim, lokasyon, hukuki işlem, müşteri işlem, işlem güvenliği, risk yönetimi, pazarlama ve ceza mahkumiyeti ve güvenlik tedbirleri bilgilerinin etkilendiği bildirilmiştir.
Güncel Haberler
AEPD yapay zekaya ilişkin kılavuz yayınladı
- İspanya veri koruma kurumu AEPD, yapay zeka işleme faaliyetlerinde AB Genel Veri Koruma Yönetmeliği’nin doğruluk ilkesinin önemine ilişkin bir kılavuz yayınladı. AEPD duyurusunda Yanlışlığı önleyen ve hatalı girdi verilerinin etkisinden koruyan uygun önlemlerin, işleme faaliyetinin uygulanmasına ‘tasarım gereği’ dahil edilmesi ve performansı gözden geçirilerek gerektiğinde güncellenmesi gerektiğini belirtti.
NOYB Meta yaptırım kararı nedeniyle İrlanda hakkında şikayette bulundu
- Gizlilik hakları grubu NOYB, İrlanda Veri Koruma Komisyonu DPC’nin, Meta’nın kullanıcı verilerini işlemesine ilişkin şikayetleri tam olarak araştırması için İrlanda Yüksek Mahkemesi’ne şikayette bulundu. NOYB, Otoritenin Meta’nın ihlallerine ilişkin karar taslağını değiştirdiğini ve davanın önemli yönlerini terk ettiğini veya görmezden geldiğini iddia etti.
ICO kuruluşların gizliliği artıran teknolojilerin kullanımına ilişkin tavsiye yayınladı
- Birleşik Krallık Bilgi Komiserliği Ofisi ICO, kuruluşlara bireylerin kişisel bilgilerini güvenli, emniyetli ve anonim bir şekilde paylaşmak için gizliliği artıran teknolojileri (PET’ler) kullanmaya başlamalarını tavsiye eden bir kılavuz yayınladı. Kılavuz veri koruma görevlileri ile finans, sağlık, araştırma ve devlet hizmetleri gibi alanlarda büyük veri kümeleri kullanan kişileri hedefliyor.
Bermuda Kişisel Veri Koruma Yasası yürürlük tarihi belirlendi
- Bermuda hükümet yetkilileri ve Bermuda Gizlilik Komiserliği Ofisi PrivCom, Kişisel Verileri Koruma Yasası PIPA’nın yürürlüğe gireceği resmi tarihi belirledi. PrivCom kuruluşlara yasalara tam olarak uymaları için 18 aylık bir “aşamalı eylem planı” sağlayacak.
ICO yeni nöroteknolojilerin tehlikeleri hakkında bir uyarı yayınladı
- Birleşik Krallık Bilgi Komiserliği Ofisi ICO, nörodatayı izlemek için kullanılan teknolojinin önümüzdeki on yılda yaygınlaşacağını öngördüğünü belirterek yeni nöroteknoloji tehlikeleri hakkında bir uyarı yazısı yayınladı. Düzenleyici Risk İcra Direktörü Stephen Almond, “Nöroteknoloji, duygular ve karmaşık davranışlar da dahil olmak üzere, insanların genellikle farkında olmadığı mahrem kişisel bilgileri toplar. Bu teknolojiler uygunsuz bir şekilde geliştirilir veya dağıtılırsa sonuçlar korkunç olabilir.” diyerek gerçek bir ayrımcılık tehlikesinden kaçınmak için kuruluşların şimdi harekete geçmesinin önemli olduğunu vurguladı.
Isaca’dan Haberler
Privacy Meet and Greet: Connecting Privacy Professionals etkinliği gerçekleştirildi
- 1 Haziran tarihinde ISACA Istanbul Chapter ve GovernID iş birliğinde düzenlenen “Privacy Meet and Greet: Connecting Privacy Professionals” etkinliği gerçekleştirildi. Privacy alanındaki güncel gelişmeler ve son trendlere ilişkin interaktif sohbet ve bilgi paylaşımıyla dolu bu etkinlikte sektörün önde gelen profesyonelleriyle bir araya gelindi. Birlikte çalışarak, gizlilik konusunda daha bilinçli bir toplum yaratma hedefimize ulaşacağımıza inanıyoruz. Bir sonraki etkinliğimizde sizleri de aramızda görmek için sabırsızlanıyoruz!
Kurul Kararları Işığında İhlal Analizleri etkinliği gerçekleştirildi
- Isaca Istanbul Chapter Privacy Nights serisinin “Kurul Kararları Işığında İhlal Analizleri” isimli etkinliği 20 Haziran 2023 tarihinde online olarak gerçekleştirildi. Birbirinden değerli konuklar eşliğinde Kişisel Verileri Koruma Kurulu’nun yaptırım kararlarında dikkate aldığı unsurlar, uyum projelerinin yaptırımlara etkisi ve bankacılık, hastane, e-ticaret sitesi, teknoloji şirketi, oyun şirketi, üniversite, belediye gibi farklı sektörlere ilişkin Kurul Kararlarının anatomisinin değerlendirildiği bu keyifli etkinliği Isaca Istabul Chapter Youtube kanalı üzerinden izleyebilirsiniz.
Tags
Yazar Hakkında
