Mayıs 2023 Bülteni
ISACA İSTANBUL CHAPTER Veri Koruma Bülteni
Yaptırımlar
Meta’ya 1,2 milyar € rekor ceza
- İrlanda Veri Komisyonu DPC, Meta Ireland’in Facebook hizmetlerinin sunulmasıyla bağlantılı olarak kişisel verilerin Amerika Birleşik Devletleri’ne aktarılmasına ilişkin soruşturmanın sonuçlandığını ve Meta’ya 1,2 milyar € para cezası verildiğini duyurdu. Avrupa Birliği’nde ikamet eden kişilerin kişisel verilerinin ABD’ye sınır ötesi aktarımı konusunda 2020 yılından bu yana devam eden soruşturmanın sonucunda verilen kararda Meta’ya ayrıca kararın şirkete ulaştığı tarihten itibaren 5 aylık süre içinde kişisel verilerin aktarılmasını askıya alınması emredildi ve aktarım faaliyetlerini hukuka uygun hale getirmesi için 6 aylık süre verildi.
CNIL Clearview AI şirketine 5,2 milyon € ceza verdi
- Fransa Veri Koruma Kurumu CNIL, Clearview AI şirketine düzenleyici kurumun önceden verdiği bir emre uymayı geciktirmesi nedeniyle 5,2 milyon € ödemesini emretti. Amerikalı yüz tanıma girişimi Clearview AI, kullanıcıların asla amaçlamadığı ve izin vermediği amaçlar için sosyal medya ve diğer halka açık kaynaklardan fotoğraflar topluyor ve kendi veri tabanıyla eşleştirerek kişilerin fotoğraflarıyla aranabileceği bir arama motoru hizmeti sağlamak için kullanıyordu. CNIL, 2022 yılında şirkete Fransa’da ikamet eden kişiler hakkında herhangi bir yasal dayanak olmaksızın veri toplaması ve işlemesi nedeniyle 20 milyon € para cezası vermişti. Süresi içinde emre uyduğunu gösteren hiçbir eylemde bulunmayan şirkete 5,2 milyon € tutarında ek para cezası uygulandı.
Google aldatıcı konum izleme uygulamaları nedeniyle 40 milyon $ ödeyecek
- Washington eyaleti Başsavcısı Bob Ferguson, Google’ın konum izleme uygulamalarıyla ilgili bir davada yaklaşık 40 milyon $ doları tutarında bir uzlaşmaya vardığını duyurdu. Dava, Google’ın hangi konum verilerini toplayıp kullandığına ilişkin kullanıcı denetimleriyle ilgili aldatma iddiasından kaynaklanıyor. Google ayrıca, konum izleme ayarlarıyla ilgili şeffaflığı artırmak için bir dizi mahkeme emri reformu uygulayacak.
CNIL’den bir sağlık web sitesine 380.000 € para cezası
- Fransa Veri Koruma Otoritesi CNIL, kâr amacı gütmeyen bir kuruluş olan Privacy International’ın şikâyeti üzerine halk için sağlıkla ilgili makaleler, testler, sınavlar ve tartışma forumları hizmetleri sunan Doctissimo şirketine GDPR ve Fransız Veri Koruma yasasına uymadığı için 380.000 € para cezası verdi. Karara göre, kullanıcıların sağlık verilerinin işlendiği yönünde gerekli bilgilendirme ve onay alma mekanizmasını işletmeyen şirket, kullanıcıların yaptığı testlere ilişkin verileri tamamlandığı tarihten itibaren 24 ay gibi çok uzun bir süre boyunca saklıyordu. CNIL ayrıca, şifrelenmemiş bir iletişim protokolünün kullanılması ve şifrelerin “yeterince güvenli olmayan bir formatta” saklanması nedeniyle kişisel verilerin güvenliğinin sağlanamadığına da dikkat çekti.
OCR, HIPAA ihlalleri nedeniyle 350.000 $ ödeyecek
- ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi OCR, 200.000’den fazla kişinin sağlık bilgilerinin açığa çıkmasına neden olan bir ihlal nedeniyle MedEvolve ile 350.000 $ tutarında anlaşmaya vardı. Karara göre ihlalin nedeni Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası Kurallarının olası ihlallerinin “kuruluş genelinde elektronik olarak korunan sağlık bilgilerine yönelik riskleri ve güvenlik açıklarını belirlemek için bir analiz eksikliği ve bir taşeronla iş ortaklığı sözleşmesi akdedilmemesi oluşturuyor.
Veri İhlalleri
Boyner veri ihlal bildirimi yayınladı
- Boyner Büyük Mağazacılık Anonim Şirketi (“Boyner”) tarafından Kurul’a yapılan veri ihlal bildirimine göre, müşterilerine ticari ileti gönderilmesi amacıyla SMS ve MMS gönderimine yönelik mesajlaşma hizmetleri sağlayıcısı şirket paneli üzerinden sunulan hizmetlere erişmek için kullanılan hesaplardan birine yetkisiz giriş yapıldığı, SMS Gönderim Panelinde kayıtlı müşterinin iletişim ve müşteri işlem verilerine erişildiği ihlalden İhlalden tahmini olarak 3.055.907 kişinin etkilendiği belirtildi.
Trabzonspor’dan veri ihlal bildirimi
- Trabzonspor Sportif Yatırım ve Futbol İşletmeciliği Ticaret A.Ş, Kurul’a ilettiği veri ihlal bildiriminde 19.05.2023 tarihinde sunucularının uğradığı siber saldırı neticesinde şifrelendiği ve bu ihlalin aynı gün öğrenildiği, şifrelenen sunucularda tutulan dosyalara erişim sağlanamadığı ve bu sebeple ihlalden etkilenen kişi ve kayıt sayısının tespit edilemediği ancak ihlalden etkilenen çalışanlar, kullanıcılar, öğrenciler ve müşteriler ve potansiyel müşteriler kişi olan kişi gruplarına ait kimlik, iletişim, özlük, müşteri işlem, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar ile diğer veri kategorilerinin etkilendiği bilgilerine yer verildi.
Yeni Zelanda nüfusunun %20’sinin özel verileri çalındı
- Yeni Zelanda merkezli bir finansal hizmetler şirketi olan Latitude Financial’ın Yeni Zelanda nüfusunun %20’sinin özel bilgilerinin çalınmasıyla sonuçlanan büyük bir siber saldırıya maruz kaldığı söyleniyor. Habere göre Latitude Financial, üçüncü taraf BT sağlayıcısı DXC Technology aracılığıyla fidye yazılımı saldırısına uğradı. Latitude Financial yetkilileri, kaybolan veriler için fidye ödemeyeceklerini söyledi.
3 milyondan fazla ABD vatandaşının kişisel verisi ihlale uğradı
- TechCrunch haberine göre, ABD’deki milyonlarca insanın kişisel ve sağlık bilgileri, sağlık hizmeti sağlayıcıları da dahil olmak üzere düzinelerce şirketi hedef alan bir toplu saldırıda çalındı. ABD genelinde 20 milyondan fazla üyesine ek avantajlar sunan Florida merkezli bir teknoloji şirketi olan NationBenefits, Nisan ayında bilgisayar korsanlarının Fortra’nın GoAnywhere dosya aktarım yazılımını kullanan müşterileri hedef alan toplu bir fidye yazılımı saldırısı sonucunda üye verilerini çaldığını doğruladı.
ABD devlet çalışanlarının kişisel verileri ifşa edildi
- Reuters haberine göre, ABD Ulaştırma Bakanlığı (USDOT) bünyesinde gerçekleşen bir veri ihlali sonucunda yaklaşık 237.000 mevcut ve eski ABD hükümet çalışanına ait kişisel bilgiler açığa çıktı. İhlalin, hükümet çalışanlarına sağlanan geçiş yardımlarının işlenmesi gibi idari işlevler için kullanılan TRANServe sistemini hedef aldığı ve sorumlusunun belirlenemediği belirtildi.
T-Mobile 2023 yılındaki ikinci veri ihlaliyle karşı karşıya
- T-Mobile, saldırganların Şubat 2023’ün sonlarından başlayarak bir aydan fazla bir süre boyunca yüzlerce müşterinin kişisel bilgilerine erişimi olduğunu keşfettikten sonra 2023’ün ikinci veri ihlalini açıkladı. Habere göre 2023’te meydana gelen müşteri verilerini ve hesap PIN’lerini ifşa eden ve birçok kullanıcıyı potansiyel dolandırıcılık ve kimlik hırsızlığına karşı savunmasız bırakan ikinci bir veri ihlaliyle karşı karşıya kaldı. Ocak ayındaki bir önceki saldırıdan 37 milyon müşteri verisi ihlale uğramışken, son olandan 836 kişinin etkilendiği ve ancak elde edilen bilgiler arasında “isim, iletişim bilgileri, hesap numarası ve ilgili telefon numaraları, T-Mobile hesabı PIN’i, sosyal güvenlik numarası, devlet kimliği, doğum tarihi” bilgilerinin yer alabileceği belirtildi.
Güncel Haberler
İrlanda Veri Koruma Otoritesi çalışan verilerinin işlenmesine ilişkin rehber yayınladı
- İrlanda Veri Koruma Otoritesi (“DPC”), mevcut, eski çalışanlar ile gelecekteki muhtemel çalışanların verilerinin işlenmesine ilişkin bir İşveren Rehberi yayınladı. Kılavuzun, çalışanların adları ve iletişim bilgileri dahil olmak üzere standart veri toplama faaliyetleriyle birlikte işverenlerin “iş sağlığı, hastalık izni, performans incelemeleri veya disiplin cezaları hakkında bilgiler” gibi geleneksel olmayan verilerin işlenmesini de kapsayacak şekilde düzenlendiği görülüyor.
Beyaz Saray Yapay Zekâ eylem planını duyurdu
- Amerika Beyaz Sarayı, ChatGPT gibi araçların ani popülaritesi ve teknolojinin potansiyel ayrımcılık, yanlış bilgilendirme ve mahremiyet risklerine ilişkin artan endişelerin ortasında yapay zekanın zorluklarını ele almak için bir dizi önlem duyurdu. Eylemler arasında ABD Ulusal Bilim Vakfı’ndan yedi yeni Ulusal Yapay Zeka Araştırma (NAIR) Enstitüsü başlatmak için 140 milyon dolarlık bir yatırım yapılması da yer alıyor.
Sam Altman’dan yapay zekayı yasalaştırma çağrısı
- OpenAI CEO’su Sam Altman, ABD Senato Komitesi önünde verdiği ifadesinde yapay zeka teknolojisinin gelecekteki potansiyel fayda ve riskleri hakkında konuştu. İfadesi sırasında yapay zeka teknolojileri oldukça ters yönlere doğru evrilebileceği uyarısında bulunan Altman, düzenleyicilere bu konuda yeni yasal düzenlemeler oluşturmaları için çağrıda bulundu.
Kıbrıs Veri Koruma Otoritesi 30 web sitesine ilişkin çerez denetiminin tamamlandığını duyurdu
- Kıbrıs Veri Koruma Otoritesi komiseri Nikolaidou, haber ve kamu bilgilendirme konulu web sitelerine yerleştirilen çerezlerin kullanımına ilişkin 30 denetimin tamamlandığını duyurdu. Habere göre bazı web sitelerinin çerezleri kullanma amaçlarını açıklamadığı, diğer web sitelerinin ise çerez kullanımı için kullanıcıların açık rızalarını alma yoluna gitmediği ifade edildi. Ayrıca web site yöneticilerine düzeltme tedbirlerini içeren mektuplar gönderildi.
Uber Eski CEO’su için 15 ay hapis cezası isteniyor
- BankInfoSecurity haberine göre ABD savcıları bir federal yargıçtan eski Uber Bilgi Güvenliği Sorumlusu Joe Sullivan’ın şirkete yönelik bir soruşturmayı engellemesi nedeniyle 15 ay hapis cezasına çarptırılmasını istedi. Yaptırım, 2016’da Uber 57 milyon kullanıcının adının, telefon numaralarının, e-posta adreslerinin yanı sıra 600.000 Uber sürücüsünün kişisel bilgilerinin ve hatta sürücü belgelerinin sızmasına neden olan güvenlik ihlalinin gizli tutulması için bilgisayar korsanlarına 100.000 $ ödenmesinden kaynaklanıyor.
Yeni Zelanda üretken yapay zeka kullanımıyla ilgili temel ilkeleri açıkladı
- Yeni Zelanda Gizlilik Komiserliği NZ OPC, üretken yapay zeka kullanımı kapsamında göz önünde bulundurulması gereken yedi temel ilkeyi açıkladığı bir duyuru yaptı. Üretken yapay zeka sistemlerinden yararlanmak isteyen kuruluşların bireylerin mahremiyet haklarına saygı duyacak şekilde hareket etmelerine yardımcı olacak tavsiyeler arasında üst düzel yetkililerin karar verme sürecine dahil olması, gereklilik ve orantılılık, şeffaflık ve gizlilik etki değerlendirmesi yapılması gerekliliği gibi öneriler yer alıyor.
COPPA 2.0 yeniden uygulamaya konuldu
- ABD’li senatörler tarafından, Çocukların Çevrimiçi Gizliliğini Koruma Yasası’nda belirtilen düzenlemeleri güncelleyecek ve genişletecek olan Çocukların ve Gençlerin Çevrimiçi Gizliliğini Koruma Yasası COPPA 2.0’ın yeniden uygulamaya konulduğu duyuruldu. Tasarı, internet şirketlerinin 13-16 yaş arası kullanıcıların kişisel verilerini izinsiz toplamasını, çocuklara ve gençlere yönelik hedefli reklamları yasaklamakla birlikte “Gençler için Dijital Pazarlama Hakları Bildirgesi” oluşturuyor.
Isaca’dan Haberler
- Isaca Istanbul Chapter Privacy Talks serimizin “Üretken Yapay Zeka Çağında Mahremiyetin Korunması” isimli ikinci etkinliği 29 Mayıs 2023 tarihinde online olarak gerçekleştirildi. Çağımızın yeni teknolojisi üretken yapay zeka (Generative AI) alanındaki güncel gelişmeler ile hızlı teknolojik ilerlemelerin mahremiyet ve güvenlik açısından ortaya çıkarabileceği risklerin konuşulduğu bu keyifli etkinliği Isaca Istabul Chapter Youtube kanalı üzerinden izleyebilirsiniz.
Tags
Yazar Hakkında
