.png){kind=small}
Olumlu bir gelecek kurmak için durmadan öğrenmeli, sürekli araştırmalıyız. Zamanın çok hızlı aktığı şu günlerde bilgiye ulaşmak ne kadar kolaysa zamanı yakalamak da o kadar zor olmaya başladı. Hayatın akışı içerisinde kişisel veri konularındaki güncel gelişmeleri aylık olarak sizlere ulaştırmaya devam ediyoruz.
Gelecek Araştırmaları Enstitüsü olarak kişisel verilere ilişkin bu ayki gelişmeleri belirli başlıklar altında oluşturduk. Bu bültenle kasım ayında kişisel verilerin kullanımı, işlenmesi, ihlali gibi konulardaki yeni gelişmeleri sizlerle paylaşıyoruz. Kişisel Veri Bültenimizi takip etmeye devam edin, yeni gelişmelerden geri kalmayın !
Gelecek bugün,
Biliyoruz!
Tuba Tosun
KASPERSKY İLK ŞEFFAFLIK RAPORUNU YAYIMLADI
Siber güvenlik şirketi Kaspersky ilk şeffaflık raporunu 1 Ekim 2021 tarihinde yayımladı.[1] Şirket bu rapor ile 2020-2021 yılında dünya çapında emniyet teşkilatları, devlet kurumları ve son kullanıcılardan aldıkları taleplerİ paylaştı. [2]
Kaspersky, şeffaflık raporu kapsamında kendilerine yöneltilen talepleri nasıl işleme aldıklarını da belirtti. Bu kapsamda şirket, gelen taleplere karşılık yaklaşımlarını 3 unsur ile açıkladı. Talep halinde;
Üçüncü tarafların doğrudan ya da dolaylı olarak şirket altyapısına veya verilerine erişim sağlayamadığını ve talep edilen veriler hakkında şirket tarafından sadece bilgi sağlandığı,
Teknik uzmanlık ve kişisel olmayan teknik bilgilerin paylaşıldığı,
Alınan her talebin ilgili kanun ve prosedürlere uymayı sağlamak açısından hukuki doğrulama sürecinden geçtiği ifade edildi.
Yine şirket emniyet güçlerinin elektronik kanıt amacıyla zaman zaman istediği (kullanıcılar tarafından oluşturulan ve iletilen) içerik verilerini işlemedikleri konusunda da açıklık getirdi.
KVKK UNUTULMA HAKKINA İLİŞKİN KİTAPÇIK YAYIMLADI
Kişisel Verileri Koruma Kurumu 20 Ekim 2021 tarihinde "Unutulma Hakkının Arama Motorları Özelinde Değerlendirilmesi" başlıklı bir kitapçık yayımladı.[3]
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında unutulma hakkına yer verilmemiştir. 25 Mayıs 2018 tarihinde yürürlüğe giren Avrupa Genel Veri Koruma Tüzüğü’nün (GDPR) “Silme hakkı (Unutulma Hakkı)” başlıklı 17. maddesinde de unutulma hakkı ayrıca tanımlanmamıştır. Ancak yine de bu madde ile “silme” yükümlülüğü değerlendirilmiştir. Bu düzenlemeye göre, hakkın kullanımı bakımından veri işleme şartlarının ortadan kalkmış olması gereken hallerin değerlendirilmesi gerektiği belirtilmiş, kamu yararı, halk sağlığı gibi hakkın istisnalarına yer verilmiştir.
Her ne kadar KVKK kapsamında bir düzenleme olarak yer almasa da, GDPR kapsamında düzenlenmiş unutulma hakkı Kişisel Verileri Koruma Kurumu tarafından uygulamaya konu olmaya başlamıştır. Kurum bu kapsamda hazırladığı kitapçıkta "Unutulma Hakkının Gelişimi" ile "Hak Arama Yöntemleri" şeklinde iki başlık altında unutulma hakkını incelemiştir.
İÇİŞLERİ BAKANLIĞINDAN GÖRÜNTÜLÜ ARAMALARA İLİŞKİN MESAJ
İçişleri Bakanlığı 5 Ekim 2021 tarihinde yurtdışından gelen görüntülü aramalara ilişkin pek çok vatandaşa uyarı mesajı gönderdi. Mesaj içeriğinde sosyal medyadan yurtdışı kaynaklı görüntülü aranarak tehdit ve şantaja maruz kalmamak için tanımadığımız kişilerden gelen görüntülü aramaların reddedilmesi gerektiği üzerinde duruldu. Bakanlığın bu mesajı kişisel verilerin korunmasının sağlanmasına yönelik önemli bir bilgilendirmedir. Nitekim pek çok vatandaş henüz görüntü, video kaydı gibi kişisel verilerinin öneminin farkında değildir. Kişisel verilerin izinsiz kullanımı öncelikle özel hayatın gizliliğini ihlal etmekle birlikte insan onurunun korunmasına da engel olmaktadır.
Yurtdışından görüntülü aramalar yapılarak kişisel verilerin kayıt altına alındığı bir senaryoyu düşünelim. Yabancı bir ülke vatandaşı Türk bir vatandaşın kişisel verilerini izinsiz kayıt altına alıp tehdit ediyor ise Kişisel Verileri Koruma Kanunu’na göre Türk vatandaşın kişisel verileri ihlal edilmiş olur. Ancak KVKK kapsamındaki ihlal (GDPR’ın AB vatandaşını korunması gibi) Türk vatandaşı olmaktan kaynaklı bir korumadan ziyade KVKK kapsamında verilerin açık rızaya uygun bir şekilde işlenmemesinden kaynaklanmaktadır. Peki bu durumda veriyi işleyenin GDPR kapsamında sorumluluğu var mıdır?
GDPR kapsamında korunan veri, AB vatandaşlarının verileridir. AB vatandaşı tarafından AB dışı bir ülke vatandaşının kişisel verileri ihlal edilmesi durumu GDPR’da değerlendirilmemiştir.
Sonuç olarak bir Türk vatandaşının kişisel verilerini -görüntülerini- kullanarak tehdit eden kişi tespit edilebiliyorsa hakkında Türk Ceza Kanunu kapsamında tehdit suçundan suç duyurusunda bulunulabilir. Yine KVK Kurumuna kişisel verilerin açık rıza olmaksızın işlenmesinden kaynaklı başvuru da yapılabilir.
MÜNİH YÜKSEK BÖLGE MAHKEMESİ İŞLENEN KİŞİSEL VERİLERDEN SURET TALEP EDİLEBİLECEĞİNE KARAR VERDİ
Münih Yüksek Bölge Mahkemesi 4 Ekim 2021 tarihli 3 U 2906/20 sayılı kararında işlenen kişisel verilerin bir suretinin talep halinde ilgiliye verilmesi gerektiğine karar verdi.[4]
Söz konusu davada davacı, 18 Ocak 2019 tarihinde açtığı dava ile konteyner alımına ilişkin yanlış açıklama olması nedeniyle davalılardan tazminat talep etmiştir. Davacı davalılardan GDPR 15. madde 3. fıkra uyarınca davalıya sunulan tüm kişisel verilerinin kopyalarının verilmesini talep etmiştir. Davalılar ise ellerindeki kişisel veriler hakkında sadece bilgilendirme yapıp söz konusu verilerin kopyalarını göndermemiştir.
Uyuşmazlık hakkında yargılama yapan Münih Bölge Mahkemesi davacıya ait tüm kişisel verilerinin kopyalarının, özellikle telefon notları, sermaye yatırım notları, protokoller, e-postalar, mektuplar ve çizim belgelerinin, dosya biçiminde davacıya verilmesine karar vermiştir. Yine kararda, uyuşmazlık kapsamında davalının ilgili belgelere sahip olduğu konusunda bir anlaşmazlık olmadığı, GDPR 15. maddenin 3. fıkrasına[5] göre işlenen verilerin bir kopyasının ilgiliye teslim edilmesi gerektiğinin karara dayanak gösterildiği belirtilmiştir. Nitekim GDPR 15. maddenin 3. fıkrası da açıkça Kontrolör tarafından işlenmekte olan kişisel verilerin bir kopyasının kişisel verisi işlenen ilgiliye sağlanacağını düzenlemiştir.
Davalılar tarafından karar temyiz edilmiştir. Münih Yüksek Bölge Mahkemesi ise temyiz talebini reddederek GDPR 15. madde kapsamında hem kişisel verilerin işlenmesi bakımından bilgi edinme hakkının hem de bundan bağımsız olarak işlenen verilerinin bir kopyasını isteme hakkının doğduğuna karar vermiştir.
DİPNOTLAR : [1] https://media.kasperskydaily.com/wp-content/uploads/sites/92/2021/09/15064736/Kaspersky-Law-Enforcement-and-Government-Requests-Report_September-2021-new.pdf [2] https://www.kaspersky.com.tr/blog/first-transparency-report/10033/ [3] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/11b6fd99-d42a-45b1-a009-21f2d36ded21.pdf [4] https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2021-N-29747?hl=true [5] https://gdpr-info.eu/art-15-gdpr/
Comments