Seçilmiş Güncel Gelişmeler 6

Rehber/Çalışma/Düzenleyici İşlemler

 

* Birleşik Krallık Veri Koruma Otoritesi’nin (ICO) “Anonimleştirme, Bulanıklaştırma ve Mahremiyet Artırıcı Teknolojiler Rehberi”nin bir parçası olarak “mahremiyet artırıcı teknolojiler” (privacy-enhancing technologies) konusunun ele alındığı taslak beşinci bölüm yayımlandı[1]. Görüşe açılan bu metinde, “mahremiyet artırıcı teknolojiler” kavramından ne anlaşılması gerektiği, bu teknolojilerin veri koruma hukuku ile ilişkisi, türleri ile bunların kullanımından elde edilebilecek faydalar ve riskler gibi konulara değinilmektedir.

 

* Avrupa Komisyonu, “Siber Dayanıklılık Yasası” (Cyber Resilience Act) teklifini açıkladı[2]. Önerilen metinde, dijital bileşenli ürün veya yazılım satın alan ya da kullanan tüketicilerin ve işletmelerin korunması amaçlanıyor. Bu amaç doğrultusunda Yasa’nın; (1) dijital bileşenli ürün veya yazılımları piyasaya sunarken uyumlaştırılmış kuralları, (2) değer zincirinin her aşamasında yerine getirilmesi gereken yükümlülüklerle birlikte bu tür ürünlerin planlanması, tasarımı, geliştirilmesi ve bakımını düzenleyen siber güvenlik gereksinimleri çerçevesini, (3) yaşam döngüsü boyunca bu tür ürünlerin bakımının yapılması yükümlülüğünü garanti ettiği ifade ediliyor.

 

* Avrupa Parlamentosu Araştırma Servisi (EPRS), Avrupa Komisyonu’nun “Avrupa Sağlık Veri Alanı” (European Health Data Space) başlıklı düzenleme önerisine dair bilgilendirici bir çalışma yayımladı[3]. Bahse konu çalışmada, düzenlemenin nasıl gündeme geldiği/hazırlık süreci/hangi aşamada olduğu, Avrupa’daki mevcut durum ve önerinin getirebileceği değişiklikler gibi konular üzerinde durulmaktadır.

 

*Fransa Veri Koruma Otoritesi (CNIL), dijital jetonlarla (token) kimlik doğrulamaya ilişkin bir rehber yayımladı[4]. Bu konudaki iyi uygulama örneklerine de yer verilen rehberde, köprülerden yapılan erişim jetonlarının “internetteki kişisel verilere sürekli erişim” sağlamak için bir “ağ geçidi” olarak görev yapabilmesi nedeniyle güvenlik riskleri oluşturabileceği ve çift faktörlü kimlik doğrulama olmaksızın bireysel uzaktan bağlantı jetonlarının veri güvenliği açısından yüksek risk teşkil edebileceği yönünde uyarılarda bulunuldu. Bu risklere ilişkin olarak Otorite tarafından, bir jetonun ne kadar süreyle geçerli olabileceğine dair belirli bir süre tanımlanması ve kişisel veri içermeyen doğrulama linkleri kullanılması yönünde tavsiyeler verildi.

 

* İspanya Veri Koruma Otoritesi (AEPD), çocukların kişisel verilerinin hukuka aykırı şekilde işlenmesi ve çocuklara ilişkin hassas içeriklerin internette yayınlanması durumunda bunları önlemeye yönelik olarak eğitim merkezlerinin nasıl hareket etmeleri gerektiğine ilişkin bilgilendirici bir doküman yayımladı[5].

 

* ABD Federal Ticaret Komisyonu (FTC), dijital pazarlarda karanlık desen/kalıpların (dark patterns) artan kullanımı çerçevesinde yaygın olarak başvurulan karanlık desen taktiklerinin ele alındığı raporunu yayımladı[6]. Raporda, tüketicileri yanıltmak ve reklamları gizlemek, abonelikleri iptal etmeyi zorlaştırmak, anahtar terimleri saklamak ve verilerini paylaşmaları için tüketicileri aldatmak gibi yöntemlerin tüketicinin korunmasına ilişkin gündeme getirdiği endişeler detaylı bir şekilde inceleniyor.

 

* Avrupa İnsan Hakları Mahkemesi, “Kitlesel Gözetim” (mass surveillance) konusunun ele alındığı kararlara ilişkin bilgi notunun Ağustos 2022’de güncellenmiş versiyonunu yayımladı[7].

 

* Avrupa İnsan Hakları Mahkemesi, “Çalışma Hayatına İlişkin Haklar”ın ele alındığı bilgi notunun Eylül 2022’de güncellenmiş versiyonunu yayımladı[8].

 

* Avrupa İnsan Hakları Mahkemesi, kişisel verilerin korunması alanına yönelik çeşitli karar özetlerinin yer aldığı bilgi notunun Eylül 2022’de güncellenmiş versiyonunu yayımladı[9]. Bu derleme kapsamında; (1) kişisel verilerin toplanması (cinsel eğilimi gösteren veriler, GPS verileri, sağlık verileri, iletişimin izlenmesi ve gizli gözetim, işçilerin bilgisayar kullanımının izlenmesi, video ile izleme vs), (2) kişisel verilerin depolanması ve kullanılması (ceza süreçlerinde, sağlık ile ilişkili olarak, sosyal sigorta süreçlerinde, vergi bağlamında, hizmet sağlayıcılarının kullanımına ilişkin vs), (3) kişisel verilerin ifşa edilmesi, veriye erişim hakkı ve kişisel verilerin imha edilmesi konularına ilişkin önemli kararlara değinilmektedir.

 

Veri Koruma Otoriteleri/Mahkeme Kararları

 

* İrlanda Veri Koruma Otoritesi (DPC), çocuk kullanıcıların kişisel verilerinin işlenmesine ilişkin uygulamaları nedeniyle Instagram hakkında 405 milyon avro para cezası ve bir dizi düzeltici önlem uygulanmasına karar verildiğini duyurdu[10]. Bu tutar, Amazon hakkında uygulanan 746 milyon avro para cezasının ardından GDPR kapsamında uygulanan ikinci en yüksek para cezası olarak kayıtlara geçti.

 

* Fransa Veri Koruma Otoritesi (CNIL), kullanıcıların kişisel verilerinin saklanma süreleri ve bu verilerin güvenliğinin sağlanmasına ilişkin yükümlülüklerini ihlal ettiği gerekçesiyle bir internet sitesi hakkında idari para cezası uygulanmasına karar verdi[11]. Bahse konu sitede Avrupa Birliği üyesi tüm devletlerden kullanıcı hesapları oluşturulabilmesi nedeniyle ilgili diğer otoriteler ile iş birliği içerisinde alınan kararda; (1) kullanıcıların %25’inin verilerinin belirlenen saklama süresinin ötesinde tutulduğu, (2) yalnızca kullanıcılardan gelen talep üzerine uygulanan manuel anonimleştirmenin çok az sayıda hesabı kapsadığı, (3) söz konusu internet sitesinde hesap oluşturma aşamasında güçlü bir parola kullanılmasının zorunlu tutulmadığı, (4) hesaplara erişim için geçici olmayan şifrelerin açık şekilde e-posta ile iletildiği ve şifre sıfırlama prosedüründe kullanıcılar tarafından belirlenen şifrelerin, gizli soruların ve cevapların veri tabanında şifrelenmemiş olarak tutulduğu yönünde belirlemelerde bulunuldu.

 

 

Genel Haberler

 

* İsviçre’nin revize edilmiş Veri Koruma Yasası’nın, Federal Meclis tarafından alınan karar ile 1 Eylül 2023’te yürürlüğe gireceği ilan edildi[12].

 

* Endonezya’da kişisel verilerin korunmasına ilişkin yasa tasarısı onay sürecine girdi ve Endonezya Veri Koruma Otoritesi oluşturulması konusunda anlaşmaya varıldı[13]. Bu çerçevede ülkenin ilgili bakanı, bahse konu tasarının kamu bilincini artırdığını, kişisel verilerin korunmasının öneminin farkına varılmasını ve saygı gösterilmesini sağladığını ifade etti.

 

* Sidney’de bir lisede, vandalizmi önlemek ve öğrencilerin hareketlerini izlemek için tuvaletlerin girişine parmak izi tarayıcıları yerleştirilmesinin “mantıksız ve aşırı” olduğu belirtilerek mahremiyet ihlaline yol açan bu uygulamanın kaldırılması yönünde uyarılarda bulunuldu[14].

 

* Güney Kore’de Bilim, Bilişim ve İletişim Teknolojileri Bakanlığı (MSIT), eski düzenlemelerin dayatılmasının yeni ekosistemlerin büyümesi üzerinde caydırıcı etki yarattığını belirterek metaverse sektörünün gelişimini teşvik etmek adına yeni düzenlemeler çıkartılmasına karar verildiğini açıkladı[15].

 

[1] https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-call-for-views-anonymisation-pseudonymisation-and-privacy-enhancing-technologies-guidance/#:~:text=The%20ICO%20is%20calling%20for,carry%20out%20a%20formal%20consultation, Eylül 2022.

[2] Önerilen Yasa metni için bkz. https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act, Yasa teklifine ilişkin bilgilendirici metin için bkz. https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act-factsheet, 15.09.2022.

[3] https://www.europarl.europa.eu/RegData/etudes/BRIE/2022/733646/EPRS_BRI(2022)733646_EN.pdf, Eylül 2022.

[4] https://iapp.org/news/a/cnil-creates-guidance-for-authentication-by-digital-tokens/, 08.09.2022. Otorite tarafından yapılan açıklama için bkz. https://www.cnil.fr/fr/les-jetons-individuels-de-connexion-ou-token-access, 08.09.2022.

[5] https://www.dataguidance.com/news/spain-aepd-publishes-guide-preventing-publication, 07.09.2022. Otorite tarafından yapılan açıklama ve hazırlanan doküman için bkz. https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/actuacion-coordinador-bienestar-centros-educativos-clave-frenar-publicacion-contenidos-sensibles, 06.09.2022.

[6] https://www.ftc.gov/system/files/ftc_gov/pdf/P214800%20Dark%20Patterns%20Report%209.14.2022%20-%20FINAL.pdf, Eylül 2022.

[7] https://www.echr.coe.int/Documents/FS_Mass_surveillance_ENG.pdf, Ağustos 2022.

[8] https://www.echr.coe.int/Documents/FS_Work_ENG.pdf, Eylül 2022.

[9] https://www.echr.coe.int/Documents/FS_Data_ENG.pdf, Eylül 2022.

[10] https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-instagram-inquiry, 15.09.2022.

[11] https://www.cnil.fr/en/infogreffe-fined-250000-euros, 13.09.2022. Bahse konu karar metni için bkz. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all

[12] https://iapp.org/news/a/federal-council-of-switzerland-paves-way-for-implementation-of-revised-data-protection-act/, 31.08.2022.

[13] https://iapp.org/news/a/indonesia-advances-personal-data-protection-bill-to-ratification-process/, 08.09.2022.

[14] https://www.theguardian.com/australia-news/2022/sep/06/sydney-schools-use-of-fingerprint-scanners-in-toilets-an-invasion-of-privacy-expert-says, 06.09.2022.

[15] https://cointelegraph.com/news/south-korean-ministry-recommends-enactment-of-special-metaverse-laws, 18.09.2022.