Seçilmiş Güncel Gelişmeler 4

Rehber/Çalışma/Düzenleyici İşlemler

 

*Bankacılık Düzenleme ve Denetleme Kurumunun (BDDK) “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelik” metni 04.06.2021 tarih ve 31501 sayılı Resmî Gazete’de yayımlanmış ve 24.12.2021 tarih ve 31699 sayılı Resmî Gazete’de yayımlanan değişiklik çerçevesinde 01.07.2022 tarihinde yürürlüğe girmiştir. Söz konusu düzenlemeye ilişkin olarak uygulamada yaşanabilecek tereddütleri gidermek amacıyla BDDK tarafından, “Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmeliğin Uygulanması Hakkında Ek Açıklamalar” başlıklı bir metin yayımlanmıştır [1]. Bahse konu metinde; sır saklama yükümlülüğü, bu yükümlülükten istisna tutulan hâller, sır niteliğindeki bilgilerin paylaşılmasına ilişkin genel ilkeler başlıkları üzerinden konuya ilişkin detaylı açıklamalarda bulunulmaktadır.

 

*Fransa Veri Koruma Otoritesi (CNIL), profesyonel spor takımlarının veri koruma mevzuatlarına uyum sağlamalarına yardımcı olmak üzere “öz değerlendirme uyumluluk aracı” oluşturulduğunu bildirdi [2]. Bahse konu rehberde; kişisel veri kavramı, veri işleme faaliyeti ve spor alanına özgü amaçlar da dâhil olmak üzere kişisel verilerin korunmasına yönelik temel kavramlara ilişkin yol gösterici nitelikte açıklamalar sunuldu.

 

*Danimarka Veri Koruma Otoritesi (Datatilsynet), kamuda ve özel sektörde bulut hizmetlerini kullanan veri sorumlularına yönelik bir anket hazırladı [3]. Bu kapsamda; hizmetlerini bilme, bulut hizmeti tedarikçilerini bilme, tedarikçilerin denetlenmesini anlama ve verilerin üçüncü ülkelere aktarılması olmak üzere dört alanda veri sorumluları ankete tabi tutuldu.

 

*Avrupa Veri Koruma Denetçisi (EDPS), sınır ötesi veri akışı anlaşması konusunda Japonya ile daha fazla müzakere başlatılması için Avrupa Konseyine yönelik bir tavsiye metni yayımladı [4].

 

Veri Koruma Otoriteleri/Mahkeme Kararları

*Fransa Veri Koruma Otoritesinin (CNIL), reklam teknolojisi (adtech) devi Criteo’ya 60 milyon avro para cezası uygulamaya karar verdiği bildirildi [5]. Yaklaşık dört yıldır süren soruşturmanın kaynağını oluşturan şikâyette Şirket’in, kullanıcıların profilini çıkarmak ve kullanıcıları davranışsal reklamlarla hedeflemek için tasarlanmış bir dizi izleme tekniği ve veri işleme uygulaması aracılığıyla “manipülasyon makinesi” olarak adlandırılan sistemi kullandığı, bu çerçevede reklamverenlerin de “bireysel düzeyde müşteri tahminleri” için ödeme yaptığı; ancak bu şekilde izleme ve profilleme yapılabilmesi için GDPR kapsamında herhangi bir yasal dayanak bulunmadığı iddia edilmişti.

 

*İspanya Veri Koruma Otoritesi (AEPD), yatırım fonlarına ilişkin bilgilerin kendisine e-posta yoluyla gönderilmesini talep eden ilgili kişinin bu talebinin yerine getirilmediğini ve kendisine posta yoluyla gönderim sağlanmaya devam edildiğini belirterek veri sorumlusu bankaya 70.000 avro parası uygulanmasına karar verdi [6]. GDPR’ın 6’ncı maddesinin (1) numaralı fıkrasının ihlal edildiği gerekçesiyle yaptırım uygulanan olayda, veri sorumlusunun tutarı gönüllü bir şekilde ödemesi ve sorumluluğu kabul etmesi nedeniyle uygulanan para cezasının 42.000 avroya düşürüldüğü bildirildi.

 

*Almanya’nın Aşağı Saksonya eyaletindeki veri koruma otoritesinin, bir bankaya 900 bin avro para cezası uygulamaya karar verdiği açıklandı [7]. Yapılan açıklamada, Şirket’in eski müşterileri ile mevcut müşterilerine ait verilerin rızaları alınmaksızın analiz edildiği ve bu analiz esnasında bireylerin dijital kullanım davranışları, satın aldıkları mobil uygulama sayısı ve toplam çevrim içi banka havalesi sayıları gibi verilerden yararlanıldığı belirtildi.

 

*Avrupa Birliği Adalet Divanı, kişisel verilerden özel nitelikli kişisel verilere ulaşılabileceği durumlarda, çıkarımın yapılabileceği kişisel verilerin de özel nitelikli veri olarak kabul edilebileceği yönünde karar verdi [8]. Bu kapsamda cinsel yönelime ilişkin verilerin dolaylı olarak ifşa edilmesinin GDPR kapsamında nasıl yorumlanması gerektiğini inceleyen Mahkeme; eşin ismi verisinin, bireylerin cinsel yönelimi ile ilgili bilgi çıkarılmasına olanak tanındığı ölçüde, GDPR’ın 9’uncu maddesi bağlamında özel nitelikli kişisel veri olarak nitelendirilebileceği görüşünü benimsedi.

 

Genel Haberler

*Google, konum verilerinin toplanmasına ilişkin olarak kullanıcıları yanılttığı gerekçesiyle 60 milyon Avustralya doları ödemeyi kabul etti [9]. Uyuşmazlık konusu olayın temelinde, bir kullanıcının konum geçmişi “kapalı” olarak ayarlansa dahi web etkinlikleri “açık” ise ve uygulamalarından biri kullanımda ise Şirket’in konum verilerine erişebildiği ve bunları toplamaya devam edebildiği iddiası yatmakta idi.

 

[1] https://www.bddk.org.tr/Mevzuat/DokumanGetir/1135, 11.08.2022.

[2] https://iapp.org/news/a/cnil-creates-self-assessment-compliance-tool-for-sports-teams/, 04.08.2022, Otorite tarafından yayımlanan içerik için bkz. https://www.cnil.fr/fr/sport-amateur-hors-contrat-et-rgpd-la-cnil-publie-des-outils-pedagogiques-pour-accompagner-les, 04.08.2022.

[3] https://iapp.org/news/a/danish-dpa-publishes-cloud-services-questionnaire-for-data-controllers/, 02.08.2022. Otorite tarafından yapılan açıklama için bkz. https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/aug/datatilsynets-spoergeskema-ved-tilsyn-med-cloud, 01.08.2022.

[4] https://edps.europa.eu/system/files/2022-08/22-08-09_edps_opinion_eu_japan_en.pdf, 09.08.2022.

[5] https://techcrunch.com/2022/08/05/criteo-gdpr-breaches-cnil/, 05.08.2022.

[6] https://www.dataguidance.com/news/spain-aepd-fines-bbva-70000-processing-personal-data, 04.08.2022. Otoritenin kararı için bkz. https://www.aepd.es/es/documento/ps-00142-2022.pdf.

[7] https://iapp.org/news/a/lower-saxony-data-protection-commissioner-fines-bank-900000-euros/, 03.08.2022. Otorite tarafından yapılan açıklama için bkz. https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/900-000-euro-bussgeld-gegen-kreditinstitut-wegen-profilbildung-zu-werbezwecken-213925.html, 28.07.2022.

[8] https://www.wsj.com/articles/eu-court-expands-definition-of-sensitive-data-prompting-legal-concerns-for-companies-11660123800, 10.08.2022. Avrupa Birliği Adalet Divanı tarafından verilen karar için bkz. https://curia.europa.eu/juris/document/document.jsf?text=&docid=263721&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=481514, 01.08.2022.

[9] https://www.theguardian.com/technology/2022/aug/12/google-to-pay-60m-fine-for-misleading-australians-about-collecting-location-data?CMP=share_btn_tw, 12.08.2022.