Bu yılın raporunda, kişisel verilerin korunması alanındaki son gelişmeler, alınan son kararlar ve yayınlanan kılavuzlar yanında kişisel verilerin korunması hukukunun temel düzenlemeleri ve prensipleri, Türkiye’deki gelişmeler ile bu alandaki en önemli hususlara odaklanmaktayız.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) bilindiği üzere 2016 yılında yürürlüğe girmiştir. 2022 yılında gerek yeni düzenlemeler gerekse Kişisel Verileri Koruma Kurulu (“Kurul”) kararları doğrultusunda, kişisel verilerin korunması hukukunda Kanun ile birlikte oluşturulan temelin ötesine geçilerek yerleşik içtihatların oluşmaya başladığı gözlemlenmiştir. Bununla beraber kişisel verilerin korunması hususundaki Türk Ceza Kanunu düzenlemeleri kapsamında suç unsuru oluşturan fiiller de yargıya konu olmuştur. Anayasa Mahkemesi kararları ile kişisel verilerin korunması noktasında temel kararlar verildiği gözlemlenmiştir.
Özetle, 2022 yılında sigorta, bankacılık, sağlık ve hizmet sektöründe pek çok veri sorumlusu hakkında karar alınmıştır ve veri sorumlularınca veri ihlal bildirimlerinde bulunulmuştur.
2022 yılında Kişisel Verileri Koruma Kurumu (“Kurum”), veri ihlal bildirimleri doğrultusunda finans, e-ticaret, sosyal medya ve online oyun sektörlerinde faaliyet gösteren veri sorumlularının internet sitelerine giriş için kullanılan kullanıcı hesap bilgilerine veri sorumlularının sistemlerindeki veya son kullanıcı bilgisayarlarındaki güvenlik açıkları vasıtasıyla ulaşılması ve yaygın olarak yaşanan bu gibi veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kişiler üzerinde olumsuz sonuç doğurma olasılığının azaltılmasını temin etmek amacıyla yayımladığı Kullanıcı Güvenliğine İlişkin Veri Sorumluları Tarafından Alınması Tavsiye Edilen Teknik ve İdari Tedbirlere İlişkin Kamuoyu Duyurusu ile Kurum nezdindeki kullanıcı verisine ilişkin hassasiyeti ortaya koymuştur.
2022 yılının ilk aylarında, Sosyal Güvenlik Kurumunun (“SGK”) görev ve yetkileri kapsamında otomatik veya otomatik olmayan yollarla elde ettiği verilerin işlenmesine ilişkin olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik yayımlanmıştır.
Ayrıca Kurum tarafından Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi yayımlanmıştır. Bu rehberde bankalar, Bankacılık Kanunu’nun 4.maddesi uyarınca gerçekleştirdikleri faaliyetler bakımından veri sorumlusu olarak kabul edilmiş, veri sorumlusu ile veri işleyen arasındaki ilişki kapsamında veri işleme sözleşmelerinde bulunması gereken noktalara değinilmiş, kişisel verilerin işleme şartlarından olan açık rızaya ve veri sorumlusu olan bankaların yükümlülüklerine detaylı olarak yer verilmiştir. Bu rehberin ardından yine sık ve ağır ihlallerin meydana gelmesi muhtemel bir alan için Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik yayımlanmıştır. Bu yönetmelikte sigortacılık verisi kavramı kapsamı geniş tutulacak şekilde tanımlanmış; sigortacılık verisini tutanların Sigorta Bilgi ve Gözetim Merkezi tarafından talep edilen belgeleri vermekle yükümlü olduğu, sigortacılık verilerinin kullanımındaki temel amaçların ve Sigorta Bilgi ve Gözetim Merkezi özelindeki kullanım amaçlarının açıkça belirlendiği, sigortacılık verilerine ilişkin bilgi edinme ve verilerin değiştirilmesi taleplerine ilişkin düzenleme getirildiği görülmüştür.
Kurul ilk defa münhasıran otomatik yollarla kişisel verilerin işlenmesini konu alan ve profillemeyi değerlendiren bir karar alarak, kiralama firmaları arasında kullanılan ve kullanıcılar hakkında kara liste programı oluşturulmasını sağlayan yazılım hakkında değerlendirmelerde bulunmuş, verilerin hukuka aykırı şekilde işlendiği sonucuna varmış ve ortak veri sorumluluğuna işaret edilmiştir.
Kurul biyometrik verilerin işlenmesine ilişkin olarak bu yöntemin çok istisnai olarak kullanılması gerektiğine işaret eden yaklaşımını devam ettirerek, çalışanların işe giriş çıkışın kontrolünde ve iş sağlığı ve güvenliğinin sağlanmasında çalışanların biyometrik verisinin işlenmesini gerektiren yöntemlere başvurulamayacağı sonucuna ulaşan yeni bir karar daha yayınlamıştır. Özellikle, biyometrik veri işlenmesinin giriş çıkış saatlerinin kontrolü ile iş sağlığı ve güvenliğinin sağlanması açısından orantılı bir uygulama olmadığı, bu amaçların alternatif seçenekler ile gerçekleştirilmesi gerektiği belirtilmiş ve karar tarihine kadar yüz tanıma sistemleri vasıtasıyla elde edilen kişisel veriler ile doğrulama verilerinin imha edilmesine hükmedilmiştir. Bu konuda Kurulun bir içtihat oluşturduğu gözlemlenmiştir.
Ayrıca Kanun’da veri sorumluları için getirilen Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğünün pandemi sebebiyle aksaması gözetilerek sicil kayıtlarının envantere uygun olarak tamamlanması için verilen sürelerin sonuna gelinmiş olup 2022 yılı içerisinde yapılan Kurum duyurularındaki hatırlatmaların akabinde, kayıtların kontrolü ile kontrolü takiben bu yükümlülüğü yerine getirmeyen veri sorumluları hakkında idari para cezasına hükmedilmeye başlanmıştır. Kurulun, idari para cezası miktarlarını “Yurt İçinde Yerleşik Veri Sorumluları İçin İdari Para Cezası Tutarları Algoritma Tablosu” doğrultusunda belirlediği belirtilmiştir.
Kurul çerez uygulamaları ile hukuka aykırı veri işleyen e-ticaret sektöründe faaliyet gösteren veri sorumlusu hakkında idari para cezası uyguladığı bir karar yayınlamıştır. Kurul Haziran 2022’de Çerez Uygulamaları Hakkında Rehber yayınlayarak çerez uygulamaları ile hukuka uygun veri işleme kriterlerini ve koşullarını açıklamıştır.
İÇİNDEKİLER
- Kişisel Verilerin Korunması Kanunu
- Kişisel Verilerin Hukuka Uygun Olarak İşlenmesi
- Kişisel Verilerin Korunması Kanunu Kapsamında Açık Rıza
- Kişisel Verilerin Üçüncü Kişilere Aktarımı
- Kişisel Verilerin Yurt Dışına Aktarımı
- Veri İhlali Bildirimi
- Veri Sorumluları Sicili (VERBİS)
- Veri İhlalinin Doğuracağı Sonuçlar
- Kurul Kararlarının Yargısal Denetimi
- Çerez Uygulamaları Rehberi
- Kişisel Verilerin Korunması Kanunu’nda Planlanan Değişiklikler
