Dünya Genelinde Kişisel Verilere İlişkin Güncel Gelişmeler

1. İspanya Veri Koruma Otoritesi (‘‘AEPD’’) tarafından, kamu sektörü mevzuatına ilişkin Veri Koruma Etki Değerlendirmesi’ne dair rehber yayımladı.

AEPD, kamu idarelerinin önerilen yasa tasarısına ilişkin veri koruma etki değerlendirmelerine örnek olması adına bir rehber yayımladı. AEPD, kamu sektöründeki veri koruma etki değerlendirmelerinin "standartların tasarımından itibaren" gerçekleşmesi gerektiğini belirtirken, rehberde değerlendirmelerin yürütülmesi ve sonuçların analizi odaklı kriterlerini ana hatlarıyla açıkladı.

Haberin tamamı için linke tıklayınız.

2. İrlanda Veri Koruma Otoritesi (‘‘IDPC’’) tarafından, çocukların veri koruma hakları konusunda rehberler yayımladı.

IDPC tarafından, AB Genel Veri Koruma Tüzüğü (“GDPR”) kapsamındaki çocukların veri koruma hakları konusunda ebeveynlere yönelik dört rehber yayımlandı. Rehberlerde, çocukların veri koruma haklarının temelleri, çocukların verilerinin işlenmesi için ebeveyn izninin ne zaman gerekli olabileceği, ebeveynlerin çocuklarının verilerini nasıl koruyabileceklerine ilişkin tavsiyeleri ve çocukların veri koruma haklarını kullanmalarının sınırları ana hatlarıyla belirlendi. Ayrıca IDPC tarafından, rehberlerin ebeveynlerin çocuklarının haklarını anlamalarına yardımcı olmayı ve "bu hakların geçerli olduğu tipik durumlarda ortaya çıkabilecek soruları yanıtlamayı" amaçladığı ifade edildi.

Haberin tamamı için linke tıklayınız.

3. İtalya Veri Koruma Otoritesi (‘‘Garante’’) pazarlama şirketi hakkında 300 bin euro idari para cezası verdi.

Garante, kullanıcıların kişisel verilerini pazarlama amacıyla hukuka aykırı olarak işlediği iddiasıyla dijital pazarlama hizmetleri alanında faaliyet gösteren şirket hakkında 300 bin euro idari para cezası verdi. Garante tarafından, şirkete ait çevrimiçi platformların ziyaretçileri "pazarlama amacıyla verilerin işlenmesine ve bu amaçla verilerin her zaman üçüncü taraflara iletilmesine rıza göstermeye" ikna etmek amacıyla ‘‘şirketin tasarım hileleri (bir internet sitesinin kullanıcılarını kendi istekleri dışında hareket etmeye yönlendirmesi)  kullandığı’’ ifade edildi. Garante, şirketin ayrıca promosyon mesajları göndermek amacıyla rıza aldığını ispatlayamadığını belirtti.

Haberin tamamı için linke tıklayınız.

4. Vietnam hükümeti tarafından yayımlanan Kararnamede, kişisel veri koruması düzenlemeleri detaylandırıldı. 

Vietnam hükümeti tarafından 1 Temmuz'da yürürlüğe girmek üzere Kişisel Verilerin Korunmasına ilişkin Kararname yayımlandı. Veri toplama, işleme ve saklamaya ilişkin ilkeleri uygulamaya koymakta olan Kararname uyarınca, kuruluşlar tarafından veri ihlali tespit edildikten sonra ihlalin 72 saat içinde Kamu Güvenliği Bakanlığı'na bildirilmesi gerekmektedir.

Haberin tamamı için linke tıklayınız.

5. IDPC tarafından 12 Mayıs’ta Meta hakkında AB-ABD transferleri kararı yayımlanacak.

The Irish Times'ın haberine göre; IDPC Yetkilisi Helen Dixon tarafından, otoritenin Meta hakkında yürütülen AB-ABD veri transferi davasında nihai kararın 12 Mayıs'a kadar verilmesi bekleniyor. Dixon tarafından IDPC’nin dava hakkındaki düşünceleri açıklanırken, kanun koyucunun getirdiği yaptırım eylemlerinin genel olarak düzgün bir şekilde uygulanmasının zaman aldığı ifade edildi. IDPC tarafından Meta hakkında verilecek karar, Avrupa Veri Koruma Kurulu'nun konuyla ilgili bağlayıcı 65. madde kararının kesinleştiğini açıklamasının ardından sonuçlanabilecektir.

Haberin tamamı için linke tıklayınız.

6. New York Başsavcısı tarafından işletmeler için veri güvenliği rehberi yayımlandı. 

New York Başsavcısı Letitia James tarafından, işletmelerin veri ihlallerini önlemesi ve tüketicilerin kişisel verilerinin korunmasına yardımcı olmak adına tavsiyeler içeren bir rehber yayımlandı. Tavsiyeler arasında; güvenli kimlik doğrulama kontrollerinin sürdürülmesi, hassas müşteri bilgilerinin şifrelenmesi, üçüncü taraf tedarikçiler tarafından uygun güvenlik önlemlerinin alınmasının sağlanması, siber saldırılara karşı korunma ve hızlı ve doğru veri ihlali bildirimi önlemleri yer almaktadır. Başsavcı James tarafından, "İşletmelere hassas müşteri bilgileri emanet edildiğinde, işletmeler ilgili bilgileri veri ihlallerine karşı korumak için hem yasal hem de ahlaki sorumluluk taşırlar." ifadeleri kullanıldı.

Haberin tamamı için linke tıklayınız.

7. OpenAI, GDPR’a uyumluluk noktasında birtakım zorluklarla karşılaşabilecektir.

MIT Technology Review tarafından yapılan habere göre, OpenAI'ın ChatGPT modellerini geliştirmek  için veri işlemesi nedeniyle AB veri koruma mevzuatına uymakta zorluklarla karşılaşmaktadır. OpenAI'ın, GDPR'a uymak için algoritmalarını geliştirmek üzere veri işlemenin yasal dayanağı olarak rıza veya meşru menfaate dayandığını kanıtlamak zorunda olduğu belirtildi. Fransa Veri Koruma Otoritesi (“CNIL”) yapay zeka uzmanı Alexis Leautier tarafından, OpenAI tarafından ilgili yasal dayanaklar uyarınca veri işlendiği kanıtlanamazsa, para cezalarıyla ve ChatGPT modelleri ile bu modellerini geliştirmek için kullanılan verileri silme zorunluluğuyla karşı karşıya kalınabileceği belirtildi. 

Haberin tamamı için linke tıklayınız.

8. İngiltere Veri Koruma Otoritesi (“ICO”) tarafından, polise 200 bin aramayı kaydetmesi sebebiyle  kınama cezası verildi.

ICO tarafından, kişilerin bilgisi olmadan 200 binden fazla telefon görüşmesini otomatik olarak kaydeden bir uygulama kullanmaları sebebiyle Surrey ve Sussex polisi uyarıldı. ICO, uygulamanın 1.015 personel tarafından iş telefonuna indirildiğini ve büyük olasılıkla çok çeşitli kişisel verilerin kaydedildiğini ve bu verilerin işlenmesinin haksız ve hukuka aykırı olduğunu belirtti. ICO tarafından, departman başına 1 milyon sterlin para cezası yerine kınama cezası verildi.

Haberin tamamı için linke tıklayınız. 

9. Avrupa Veri Koruma Kurulu (“EDPB”) özel görev komitesi ‘‘Schrems II' iddiaları raporunu yayımladı.

EDPB, Avrupa Birliği Adalet Divanı'nın "Schrems II" kararının ardından yasal veri aktarımlarına ilişkin NOYB tarafından yapılan 101 şikâyetle ilgili olarak Avrupa Ekonomik Alanı veri koruma yetkililerinden oluşan özel görev komitesinin raporunu yayımladı. Rapor, Google Analitik ve Facebook İş Araçları kullanılarak yapılan AB-ABD arası transferleri ve bunların GDPR 5. Bölüm kapsamındaki gerekliliklere uygunluğu konusunda Veri Koruma Otoriteleri arasında ortak bir tutum olduğunu göstermektedir. Ayrıca, raporda yer alan görüşler EDPB'nin değil, Veri Koruma Otoritelerinin görüşlerini yansıtmaktadır.

Haberin tamamı için linke tıklayınız.

10.  Birleşik Krallık Ulusal Siber Güvenlik Merkezi (“NCSC”) Veri Odaklı Siber Güvenlik Rehberi’ni güncelledi.

NCSC tarafından, veri odaklı siber güvenliğin uygulanmasına yönelik bir rehber yayımlandı. Siber esneklik yaklaşımı, güvenlik açısından "daha kanıta dayalı kararlar almak amacıyla verinin ve bilimsel yöntemlerin kullanılmasına" dayanmaktadır. Veri Odaklı Siber Güvenlik Rehberi’nden faydalanmak isteyen kuruluşların "verilerin yüksek erişilebilirliğine, kalitesine ve güncelliğine” sahip olması, aynı zamanda "veriyi tasarlayan, yöneten ve analiz eden", altyapısını geliştiren ve "veriden eyleme geçirilebilir öngörüler" yaratmak amacıyla bulguları raporlayabilen vasıflı çalışanlar istihdam etmesi gerekmektedir.

Haberin tamamı için linke tıklayınız.