Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. Yüz tanıma aracının, yaşayan akrabalarını belirlemek için ölen kişilerin görüntülerini veri kazıma yöntemi ile elde ettiği iddia edildi.

Wired tarafından yapılan habere göre; insanların internet ortamındaki varlıklarını takip etmelerine yardımcı olduğu iddia edilen PimEyes uygulaması, veri tabanını genişletmek amacıyla ölen kişilerin resimlerini dijital kaynaklardan toplamakla suçlanıyor. PimEyes'in yüz tanıma veri tabanına rıza dışı görüntüleri daha önce veri kazıma yöntemi ile toplanmış olan bir kullanıcı, uygulama içerisinde ölen akrabalarının resimlerini buldu. Şirket algoritması ölen akrabaları üzerinde uygulandığında PimEyes’ın kendi kimliğini belirlediğini iddia etti. PimEyes tarafından yanıt olarak, görüntülerin kazındığı bildirilen Ancestry.com alan adının engellendiği iddia edildi. Ancestry.com sözcüsü ise, müşterilerinin yükledikleri veriler üzerindeki tüm kontrolünün müşterilerin kendi ellerinde olduğunu söyledi.

Haberin tamamı için linke tıklayınız.

2. Amsterdam Bölge Mahkemesi ve Avusturya Veri Koruma Otoritesi tarafından, Facebook’un kullanıcılarını izlemesine ilişkin kararlar verildi.

Amsterdam Bölge Mahkemesi tarafından, Facebook İrlanda’nın Hollandalı kullanıcıların kişisel verilerini yasal bir dayanak olmaksızın reklam amacıyla işlediğine ve 2010-2020 yılları arasında uygun bir bildirimde bulunmaksızın kullanıcıların verilerini üçüncü taraflara aktardığında ilişkin karar verildi. Mahkeme, "bu işlemlerden tazminat talep edilemeyeceğini" belirtti.

Avusturya Veri Koruma Otoritesi tarafından, kar amacı gütmeyen gizlilik hakları savunucusu bir kuruluş olan NOYB tarafından yapılan bir şikayete yanıt olarak, Facebook'un izleme pikselinin AB Genel Veri Koruma Tüzüğü’nü (“GDPR”) ihlal ettiği tespit edildi. Otorite tarafından Facebook’a herhangi bir ceza öngörülmedi.

Haberin tamamı için linke tıklayınız.

3. Belçika Veri Koruma Otoritesi (“APD”), Şeffaflık ve Rıza Taslağı (“TCF”) eylem planının son tarihini askıya aldı.

APD tarafından, IAB Avrupa tarafından yayınlanan TFC eylem planının altı aylık uygulama süresi gönüllü olarak askıya alındı. APD tarafından, Avrupa Interaktif Reklamcılık Dairesi’nin (“IAB”) TCF'yi GDPR ile uyumlu hale getirme planı onaylanmış olsa da, öne çıkan noktalar Avrupa Birliği Adalet Divanı tarafından inceleniyor ve Belçika Piyasa Mahkemesi'ne bir temyiz başvurusunda bulunuldu. IAB Avrupa, "Avrupa Birliği Adalet Divanı’nın prosedüründen daha az doğrudan etkilenen çeşitli eylem planları" ile devam edeceğini belirtti.

Haberin tamamı için linke tıklayınız.

4. Singapur Veri Koruma Otoritesi (“PDPC”) tarafından Eatigo International'a veri ihlalinden kaynaklanan para cezası verildi.

PDPC tarafından, 2020 yılında 2.76 milyon kişiyi etkileyen veri ihlali ile ilgili olarak Eatigo International'a 62.400 Singapur Doları para cezası verildiği açıklandı. PDPC tarafından, şirketin mühendislik ekibi değiştirilirken izi kaybedilen veri tabanı hakkında yeterli veri güvenliği tedbirlerinin uygulanmadığı tespit etti. Veri Koruma Otoritesi tarafından şirkete para cezasına ek olarak, toplanan kişisel veriler için çeşitli risk seviyelerini sınıflandıran kapsamlı bir veri envanteri oluşturması önerisinde bulunuldu.

Haberin tamamı için linke tıklayınız.

5. Çevrimiçi terapi uygulamasına kullanıcı verilerini sattığı iddiasıyla toplu dava açıldı.

MediaPost'un haberine göre, kullanıcı verilerini üçüncü taraflarla paylaştığı iddiasıyla çevrimiçi terapi uygulaması BetterHelp’e toplu dava açıldı. Mahkeme dosyalarına göre, baş davacının 2020 yılı Ocak ayı ile 2022 yılı Ekim ayı arasında terapiler için 2 bin dolardan fazla ödeme yaptığı iddia ediliyor. BetterHelp'e yönelik iddiaların çoğu, şirketin hassas kullanıcı verilerini sattığı iddiasıyla 7.8 milyon dolar ödemeyi kabul ettiği ABD Federal Ticaret Komisyonu'nun yaptırım eyleminden kaynaklanıyor.

Haberin tamamı için linke tıklayınız.

6. Avrupa mahkemeleri, büyük şirketlerin GDPR kapsamında yapmış olduğu itirazlarda Veri Koruma Otoritelerinin aleyhinde karar verdi.

Wall Street Journal'ın haberinde; son zamanlarda büyük şirketlerin, AB üyesi bazı veri koruma otoriteleri tarafından verilen yaptırım kararlarına yapmış olduğu yasal itirazları kazandığı belirtildi. Almanya, İtalya, İspanya ve İngiltere'deki mahkemeler Amazon ve Experian gibi şirketler lehine karar vererek milyonlarca euroluk idari para cezalarını iptal etti ve gizlilik uygulamalarının GDPR’a uygun olduğunu teyit etti. Bu kararlardan birinde, İngiltere mahkemesi tarafından, şirketin çeşitli kamu kaynaklarından gelen verileri işlemesini yasaklayan İngiltere Veri Koruma Otoritesi kararına itiraz eden Experian şirketinin lehine karar verildi.

Haberin tamamı için linke tıklayınız.

7. Çek Cumhuriyeti Veri Koruma Otoritesi, çerezler hakkındaki aydınlatma yükümlülüğüne ilişkin bir rehber yayınladı. 

Çek Cumhuriyeti Veri Koruma Otoritesi, web operatörleri özelinde çerezlere ilişkin aydınlatma yükümlülüğünün yerine getirilmesini konu alan bir rehber yayınladı. Rehberde, web operatörlerinin internet sitelerinde ziyaretçilerin kişisel verilerini toplayan "teknik olmayan çerezler" kullanıp kullanmadıklarını açıklamaları gerektiği belirtildi. Bununla birlikte, ne tür verileri topladıklarını açıklayan belgeler ile teknik çerezler kullanıldıkça, bu web sitelerinde bir çerez yönetim aracı kullanılmasının gerekmediği belirtildi.

Haberin tamamı için linke tıklayınız.

8. ABD Ticaret Odası Yapay Zeka Komisyonu Raporunu yayınladı.

ABD Ticaret Odası, Yapay Zeka Komisyonu Raporu'nu yayınlayarak teknolojinin sunduğu fırsatları vurgularken risk temelli bir düzenleyici yaklaşım çağrısında bulundu. Ticaret Odası, "uygun" ve "makul korumalar" olmadan yapay zekanın "mahremiyeti olumsuz etkileyebileceğini" belirtti. "Politika liderlerinin, sorumlu yapay zekânın geliştirilmesi ve etik bir şekilde uygulanması için özenli yasalar ve kurallar geliştirmek üzere girişimlerde bulunması gerektiğinden" şeklinde bahsedilen basın açıklamasında, düzenlemelerin teknolojiden bağımsız, esnek, dengeli ve orantılı olması gerektiğine dikkat çekildi.

Haberin tamamı için linke  tıklayınız.

9. DC Health Link veri ihlalinin ardından, Kongre üyelerine ait kişisel bilgiler hacker forumunda yayınlandı.

NBC News'in haberine göre, Washington DC sağlık sigortası pazarı DC Health Link'in veri ihlalinin ardından ABD Kongre üyelerinin kişisel olarak tanımlanabilir bilgileri bir hacker forumunda yayınlandı. Çalınan verilerin, üyelerin sağlık planı bilgilerini ve diğer hassas bilgileri içerdiği bildirildi. İhlalin toplamda 65 bin DC Health Link müşterisini etkilediği ve bunların arasında "Meclis ya da Senato için çalıştıklarını gösteren iş bilgilerine sahip" binden fazla kişinin de bulunduğu iddia edildi.

Haberin tamamı için linke tıklayınız.

10.  Fransa Veri Koruma Otoritesi (‘‘CNIL’’) 2023 yılı için öncelikli temalarını ana hatlarıyla belirledi.

CNIL soruşturmalarını yönlendiren "öncelikli temalarına" ilişkin bir rehber yayınladı. CNIL’ın, 2023 yılı özelinde kamu kurumlarının akıllı kamera kullanımı, kişisel kredi geri ödeme olay dosyalarının bankalar tarafından kullanımı, dijital hasta kayıtlarına erişen sağlık kurumlarına yönelik kontrollerin sürdürülmesi ve uygulama üreticilerinin dijital izleyici kullanımının izlenmesi ile ilgili incelemelere öncelik vereceği belirtildi.

Haberin tamamı için linke tıklayınız.