Embed Size (px)
Citation preview
GSG Hukuk 1
GSG Hukuk – Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -13
AylıkKVK Bülteni
Kasım 2018
GSG Hukuk
Bu sayıdawww.gsghukuk.com
1 Güncel HaberlerTürkiye’den haberler:
• Sağlık Verilerinin İşlenmesi ve Mahremiyetine ilişkin Yönetmelik için yürütmenin durdurulmasına karar verildi
• Mariott Otelleri Veri İhlal Bildirimi
• Özel Güvenlik Hizmeti Sunan Şirketler için Yeni Düzenleme
Yurtdışından haberler:• Cathay Pacific Airways Veri İhlali
• Apple CEO’su Tim Cook’un açıklamaları
• Eurostar Veri İhlali
. GDPR kapsamında ilk para cezası Portekiz’de bir hastaneye
uygulandı
• ICO Hapis Cezası
2 Makale• Avrupa Birliği’nde yeni düzenleme: Gizlilik ve Elektronik
Haberleşme Yönetmeliği
Bu sayıda
GSG Hukuk
www.gsghukuk.com
Sağlık Verilerinin İşlenmesi ve Mahremiyetine ilişkin Yönetmelik için yürütmenin durdurulmasına karar verildi
Danıştay, Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik (“Yönetmelik”) ile ilgili 6 Temmuz 2017 tarihinde yürütmenin durdurulması kararı vermişti.
24 Kasım 2017 tarihli Resmi Gazete’de Yönetmelik’te Danıştay kararı doğrultusunda yapılan değişiklikler yayımlanmış ve yürürlüğe konmuştu. Bu değişiklikler genel olarak kişisel sağlık verilerinin işlenmesinde Kurul’un yetkilerini vurgulamış ve “yetki” ile “açık rıza” terminolojisindeki karışıklığı kaldırmayı hedeflemişti. Bunun yanında Sağlık Bakanlığı ve ona bağlı olarak faaliyet gösterecek kurum ve uygulanacak düzenlemeler (Örn. Sağlık Bakanlığı’na bağlı Kişisel Sağlık Verileri Komisyonu) kaldırılmış ya da sınırlanmıştı. Yapılan bu değişiklikler
adresinde bulunan makalemizde incelenmişti.
Geçtiğimiz haftalarda verilen bir Danıştay kararı ile söz konusu Yönetmelik için yeni bir yürütmenin durdurulması kararı verilmiştir. Yürütmenin durdurulmasını isteyen Türk Tabipleri Birliği ve Türk Diş Hekimleri Birliği temel olarak aşağıdaki argümanları ileri sürmüştür:
Yönetmelik için ilk etapta verilen yürütmenin durdurulması kararının tüm yönetmelik için verildiği, Yönetmelik’in bir bütün olarak hukuka aykırı olduğunu ve birtakım maddelerin değiştirilmesinin bu durumu değiştirmeyeceği,Kurul tarafından sağlık verilerinin işlenmesinde alınacak önlemler belirlenmeden böyle bir yönetmelik ile kişisel veri işlenmesinin hukuka aykırı olduğu,Kişisel sağlık verilerinin hiçbir ayrım yapmadan Sağlık Bakanlığı tarafından oluşturulan merkezi sağlık veri sistemine aktarılmasının zorunlu olması ve buna karşın Sağlık Bakanlığı’nın bu verileri kamu kurum ve kuruluşlarına aktarma zorunluluğunun kapsamını belirlemeye ya da sınırlamaya yarar hiçbir hükmün Yönetmelik’te bulunmaması, Yönetmelik’te sağlık hizmeti sunucularının Sağlık Bakanlığı tarafından belirlenen standartları kullanmaları
gerektiği düzenlenmesine rağmen bu standartların ne olduğu ve bunun kimler tarafından belirleneceğine dair Yönetmelik’te herhangi bir düzenleme yer almadığı,Bütün ülkenin sağlık verisinin herhangi bir anonimleştirme yapmadan merkezi bir sağlık sisteminde tutulmasının yaratacağı sakıncaların açık olduğu, KVKK’nın çerçeve nitelikte bir kanun olarak düşünülmesi gerektiği ve sağlık sektörü gibi özel nitelikli kişisel veriler ile en yakın ilişkili sektörde tereddütleri giderecek çok daha detaylı bir düzenlemeye gidilmesi gerekliliği,Sağlık personelinin görev ve sorumluluklarını daha net bir şekilde belirleyen bir düzenleme yapılması gerekliliği.
Yukarıdaki argümanları göz önüne alan Danıştay, herhangi bir düzenlemenin tamamının yürütülmesinin durdurulması veya iptal edilmesi üzerine, bu kararın gereğini yerine getirecek yeni bir düzenleme yerine konmadığı sürece; önceki düzenlemede kısmi değişiklikler yapılmak suretiyle hukuka aykırı bir düzenlemenin canlandırılmasının mümkün olmadığına ve Yönetmelik’in yürütmesinin durdurulmasına hükmetmiştir.
2
GSG Hukuk – Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -13
Güncel Haberler:
Türkiye’den Haberler
Makaleye ulaşmak için tıklayınız...
GSG Hukuk
www.gsghukuk.com
3
GSG Hukuk – Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -13
Türkiye’den Haberler:
Mariott Otelleri Veri İhlal
Bildirimi
Ünlü otel zinciri Mariott’un 500
milyon müşterilerinin kişisel
verileri, uğradığı siber saldırı
sonucu çalındı. Dünyanın en
büyük otel zinciri olan Mariott,
ICO’yu konu ile ilgili
bilgilendirdi. Bunun yanında
Mariott Türkiye’de de Kurum’a
bu kapsamda veri ihlal bildirimi
yaptı ve Kurum bu bildirimi
KVKK m. 12/5 çerçevesinde
internet sitesinde yayınladı.
Yayınlanan bu ihlal bildirimine
göre otelin kurum içi güvenlik
aracı Starwood üzerinden konuk
rezervasyon veri tabanına
erişim girişimi ile ilgili uyarı
aldığı belirtilmiş ve yapılan
inceleme neticesinde Starwood
ağında 2014 yılından beri
yetkisiz erişim olduğu tespit
edilmiştir. Yetkisiz erişim
sağlayan tarafın bilgileri
kopyalayarak şifrelediği ve 500
milyonu bulan konuğa ilişkin
bilgilerin sızdırıldığı
görülmüştür.
Bu konuklardan yaklaşık 327
milyonuna ilişkin bilgiler
arasında ad soyad, posta adresi,
telefon numarası, e-posta
adresi, pasaport numarası,
Starwood Tercih Edilen Konuk
(“SPG”) hesabı bilgileri, doğum
tarihi, cinsiyet, varış ve ayrılış
bilgileri, rezervasyon tarihi ve
iletişim tercihlerinin çeşitli
kombinasyonlarının yer aldığı
belirtilmiştir.
Ancak otel, kredi kartı ile ilgili
şifrelerin çözülüp çözülmediğini
söyleyemediklerini belirtmiştir.
İhlal bildiriminde diğer
Starwood markalı otel ve tesisler
de yer almaktadır. Konuya
ilişkin sorular ile ilgili
info.starwoodhotels.com
adresli internet sitesi ziyaret
edilebilecektir.
Özel Güvenlik Hizmeti
Sunan Şirketler için Yeni
Düzenleme
Yeni düzenleme ile özel
güvenlik hizmeti sağlayan
şirketlerin faaliyet izni almaları
için birtakım değişikliklere
gidilmiştir. Bu kapsamda
üçüncü kişilere özel güvenlik
hizmeti sağlayacak şirketlerin,
İçişleri Bakanlığı'na başvuru
yaparken kurucu/hissedarlar,
yönetici ve varsa temsilcilerine
ilişkin imza sirküleri, güvenlik
soruşturmaları ve arşiv
araştırması formu gibi belgeleri
de sunmaları zorunlu hale
gelmiştir. Benzeri belgeler aynı
zamanda alarm izleme merkezi
ve özel güvenlik temel eğitim ve
yenileme eğitim hizmetleri
sunan şirketler için de zorunlu
hale gelmiştir.
GSG Hukuk
www.gsghukuk.com
4
GSG Hukuk – Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -13
Güncel Haberler:
Yurtdışından haberler
Cathay Pacific Airways Veri
İhlali
Kurul’un internet sitesinden
yapmış olduğu açıklama
uyarınca Şirket’in bilgi
sistemlerine yetkisiz erişim
gerçekleştiği ve yolcuların
kişisel verilerinin ve Şirket
iştiraklerinin süreçlerine ilişkin
kişisel verilerinin de
etkilenmesi olayı
Apple CEO’su Tim Cook’un
Veri Koruması
Düzenlemeleri
Açıklamaları
Dünyanın en değerli şirketi
olan Apple’ın CEO’su Tim Cook,
yaptığı açıklamada özellikle
tüketicilere ait kişisel verilerin
kişilere karşı adeta bir silah
haline getirildiğini, mahremiyet
ve kişisel verilere ilişkin hukuki
düzenlemelerin dünya çapında
artırılması gerektiğini belirtti.
Bu konuda Avrupa ülkelerinin
diğer ülkelere oranla önde
olduğunu belirten Cook,
ABD’nin de geç kalmadan
çeşitli düzenlemeleri yürürlüğe
koyması gerektiğini aksi
takdirde yeterli hukuki
düzenlemelerin olmaması
durumunda sonuçların yıkıcı
olabileceğini belirtti.
Eurostar Veri İhlali
Avrupa’nın kara ulaşımında en
çok tercih edilen şirketlerinden
olan Eurostar siber saldırı
sonucu yolcularının kişisel
verilerine yetkisiz erişildiğini ve
erişilen kişisel verilerin
çalındığını açıkladı. Şirket,
kredi kartı bilgileri haricinde
birçok verinin ele geçirildiğini
belirtti ve yolculara şifreleri
sıfırlamaları çağrısında
bulundu.
GDPR Kapsamında İlk
Para Cezası Portekizli bir
Hastaneye Uygulandı
Portekiz’de faaliyetlerini
sürdüren ve ismi açıklanmayan
bir hastaneye Portekiz Veri
Koruma Otoritesi GDPR’a
dayanarak 400.000 Euro ceza
kesti. Hastane veri tabanına
erişim sağlayan doktorlar
haricinde birçok sahte hesap
sahibi kimsenin, birçok
hastanın hassas nitelikli
verilerine uzun yıllar boyunca
erişim sağladı ortaya çıkmıştı.
GDPR m. 83/5 uyarınca veri
ihlalleri, 20.000.000 milyon
Euro’ya veya Şirket’in bir
önceki sene elde ettiği kazancın
%4’üne varan para cezaları ile
sonuçlanabiliyor.
ICO Hapis Cezası
Oto tamiri üzerine, Birleşik Krallık’ta kurulmuş olan Şirket’in eski çalışanı Mustafa Kasım, çalıştığı şirketteki binlerce müşterinin verilerini şirketin kullanmış olduğu yazılım uygulamasından izinsiz olarak ele geçirmiş ve verileri çeşitli şirketlere satmıştır. İlgili şirketin müşterilerine gelen pazarlama mail ve aramaları sonucunda, şikayetler üzerine konu ICO’nun dikkatine taşınmıştır. ICO, cezai müeyyideler ekibi ise Kasım’ın suç işlediğinden bahisle hakkında soruşturma açılmasına yönelik şikayette bulunmuştur. Londra’da görülen dava sonucu Kasım, suçunu itiraf etmesi üzerine 6 ay hapis cezasına mahkum edilmiştir.
GSG Hukuk 5
GSG Hukuk – Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -13
KVK Makalesi:
Avrupa Birliği’nde yeni düzenleme: Gizlilik ve Elektronik
Haberleşme Yönetmeliği
2426 sayılı Gizlilik ve Elektronik
Haberleşme Yönetmeliği
(“PECR”) orijinal adı ile
“Privacy and Electronic
Communication Regulation”
Avrupa Birliği e-gizlilik
direktifinin uygulanması amacı
ile 2003 yılında Birleşik Krallık
’ta düzenlenmiştir. Söz konusu
düzenleme, elektronik
haberleşmenin usul ve
esaslarına ilişkin kapsamlı
düzenlemeler getirmekte ve
GDPR ya da kişisel veri
kanunlarını ilga etme amacı
taşımamakta; aksine diğer
kişisel veri mevzuatları ile
tamamlayıcı bir bütünlük
oluşturmaktadır. 2003 yılında
düzenlenmiş bir yönetmelik
olmasının yanı sıra henüz
yürürlükte olmayıp 2019 yılının
Mayıs ayında yürürlüğe girmesi
beklenmektedir.
Kapsam
GDPR gibi PECR’in kapsamı da
Avrupa Birliği ile sınırlı değil.
Avrupa Birliği dışında faaliyet
gösteren ve Avrupa Birliği’ndeki
son kullanıcılara elektronik
haberleşme hizmeti sunan
şirketler de bu kapsamda
işledikleri elektronik haberleşme
verisi ile ilgili PECR
hükümlerine uymakla yükümlü
olacak.
PECR’in kapsamına bakarsak
aşağıda belirtilen faaliyetler
bakımından yönetmeliğin
uygulama alanı bulacağı
görülmektedir:
Elektronik araçlarla
yapılan pazarlama
faaliyetleri (pazarlama
amaçlı aramalar, mesajlar,
e-posta veya faks) - Burada
belirtmek gerekir ki,
yalnızca istenmeyen
(unsolicited) pazarlama
faaliyetleri bu yönetmelik
kapsamda
değerlendirilmektedir. Bu
bakımdan doğrudan
kişilerin talep ve isteği
üzerine yapılan pazarlama
faaliyetleri (solicited) ise
PECR kapsamının dışında
olacaktır.
Çerez kullanımı veya başka
benzer teknolojilerle
kullanıcıların erişim
yaptığı web siteleri veya
başka elektronik hizmetler
ile ilgili bilgi takibi
Kamusal elektronik
haberleşme hizmet
güvenliği
Trafik ve konum verisi,
listelenmiş faturalar, hat
kimlik hizmeti (örn. arayan
kimliği ve geri arama),
dizin listesi ile ilgili
haberleşme ağı veya
hizmetleri kullanan
müşterilerin gizliliği.
PECR kapsamında bazı
kurallar aynı zamanda
“Nesnelerin İnterneti”
(Internet of Things) olarak
adlandırılan yeni
teknolojiler için de
uygulama alanı bulacaktır.
Bu kapsamda makineler
arası iletişim olarak ağ
üzerinden sinyaller ile
iletişim kuran ve genel
olarak elektronik iletişim
hizmeti olarak
değerlendirilen teknolojiler
de bu düzenleme
kapsamında olacaktır.
Yukarıdaki kapsamda elektronik
haberleşme verisinin gizliliği,
saklanması ve silinmesi yalnızca
geleneksel yazılı mesajlaşma ve
e-mail hizmetleri ile sınırlı
olmayacak; bunun yanında aynı
özelliklere sahip yeni teknoloji
bazlı VoIP (voice over internet
protocol) ve web tabanlı e-mail
hizmeti sunucuları (Skype,
WhatsApp, Viber, Facebook,
Messenger, Gmail vb.) da bu
kapsama dahil olacaktır.
www.gsghukuk.com
GSG Hukuk 6
GSG Hukuk – Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -13
PECR’e kimler tabi
olmaktadır?
PECR uyarınca kural olarak ağ
veya hizmet sağlayıcı olup
olmaması önemli
olmaksızın, telefon, e-posta,
mesaj, faks aracılığı ile
pazarlama faaliyetlerinde
bulunan; web sayfalarında çerez
veya benzer teknolojileri
kullanan; veya telefon dizini
(veya benzer kamusal dizin)
derleyen organizasyonlar
yönetmeliğe tabi olacaktır.
Fakat belirtmek gerekir ki
sadece kamusal elektronik
haberleşme ağı veya kamusal
elektronik hizmet
sağlayıcılarına yönelik getirilmiş
özel hükümler de
bulunmaktadır. Diğer bir ifade
ile bu hükümler bakımından
yönetmelik kapsamındaki
faaliyetlerde bulunmak yeterli
olmayıp ayrıca haberleşme ağı
ve hizmet sağlayıcı olma şartı da
gerekmektedir (örn. güvenlik
hükümleri, trafik veri ve
lokasyon veri işleme).
İstisnalar:
PECR uyarınca genel olarak 2
istisna düzenlenmiştir; (i) milli
güvenlik ve (ii) kanuni ve cezai
hükümlerden doğan diğer
istisnalar. Bu hallerin varlığı
halinde ilgili yönetmelik
hükümleri bu hükümlere uygun
hareket edilmesi ilgili
menfaatler ile çatışma yarattığı
sürece istisna teşkil etmektedir.
Sözleşmesel borçlar bakımından
ise herhangi bir istisna
bulunmamaktadır. Bunun
haricinde taraflar anlaşarak
yönetmelik hükümlerinin
kendilerine uygulanmayacağını
belirleyemezler.
GDPR vs. PECR
PECR ile getirilen düzenlemeler
GDPR hükümlerini ilga etmek
veya ona alternatif bir
düzenleme oluşturmak amacını
haiz değildir. PECR aksine,
GDPR ile birlikte uygulama
alanı bulan bir yasal düzenleme
özelliğine sahiptir.
Elektronik pazarlama ve çerez
veya benzeri teknolojileri
kullanan organizasyonlar, PECR
kurallarına uygun hareket
etmekle yükümlü olup bu
kurumların aynı zamanda
GDPR uyarınca getirilen
standart rıza beyanına da uygun
hareket etmesi gerekmektedir.
Dolayısı ile PECR
hükümlerine tabi olan bir
hizmet veya organizasyon
aynı zamanda GDPR
hükümlerine de uygun
hareket etmekle
yükümlüdür.
Burada dikkat edilmesi gereken
en önemli husus ise PECR ve
GDPR bakımından bazı
farklılıkların var olduğu ve
kurumların bu farklılıkları
gözden kaçırmaksızın her iki
yönetmeliğe de uygun
davranması gerekliliğidir. Bu
farklılıklardan birisi de GDPR’ın
kişisel veri işleme süreci ile ilgili
olması iken, PECR’in özellikle
elektronik pazarlama, çerez
kullanımı, haberleşme hizmet
güvenliğinin sağlanması ve
müşteri güvenliği hususlarına
yönelik düzenlemeler içeriyor
olmasıdır. Bu doğrultuda somut
bir olayda veri işleme faaliyeti
söz konusu olmasa dahi PECR
hükümlerinin uygulama alanı
bulabileceği unutulmamalıdır.
Öte yandan belirtmek gerekir ki
GDPR bazı hallerde doğrudan
PECR kurallarının
uygulanmasını hüküm altına
almıştır. Buna göre ağ ve hizmet
sağlayıcıları, yalnızca güvenlik,
güvenlik ihlalleri; trafik veri,
lokasyon verisi, listelenmiş
fatura ve hat kimlik hizmeti
konularında PECR kurallarına
tabidir (Bu faaliyetler
bakımından GDPR uygulama
alanı bulmaz).
Bu düzenleme ile birlikte pazarlama ve elektronik haberleşme faaliyetleri yürüten şirketlerin, halihazırdaki uyum süreçlerine ek olarak PECR kapsamında da birtakım aksiyonlar almaları gerekecektir
www.gsghukuk.com
GSG Hukuk 7
GSG Hukuk – Aylık Kişisel Verilerin Korunması Hukuku Bülteni Sayı -13
www.gsghukuk.com
Kısaltmalar
ICO Information Commissioner's Office
GDPR General Data Protection Regulation
Kurum Kişisel Verileri Koruma Kurumu
Kurul Kişisel Verileri Koruma Kurulu
KVKK Kişisel Verileri Koruma Kanunu
m. Madde
Örn. Örnek
Aydınlatma
Tebliği
Yönetmelik Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin
Sağlanması Hakkında Yönetmelik
10.03.2018 tarihli ve 30356 sayılı Resmi Gazete’de
yayınlanan Aydınlatma Yükümlülüğünün Yerine
Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
GSG Hukuk
GSG Hukuk – Aylık Kişisel Verilerin Korunması Hukuku Bülteni
© 2018 Gündüz Şimşek Gago Avukatlık Ortaklığı. Tüm hakları saklıdır.
Bu dokümanda “GSG Avukatlık Ortaklığı” veya “GSG Hukuk” ibaresi, Gündüz Şimşek Gago Avukatlık Ortaklığı’nı ifade etmektedir.
Nilgün Serdar Şimşek, LL.M.
Ortak, Avukat
T: +90 (212) 326 63 68
Rıza Eroğlu
Kıdemli Müdür
T: +90 (212) 326 64 61
İpek Okucu Taftalı
Müdür, Avukat
T: +90 (212) 326 60 68
Sayı -13
GSG HukukAylık Kişisel Verilerin Korunması HukukuBülteni
Kasım 2018
Süleyman Seba Cad.No :48 BJK Plaza B BlokK:4 AkaretlerBeşiktaş - İstanbul
www.gsghukuk.comKVKK kapsamında yerine getirmeniz gereken hukuki yükümlülükler hakkında daha detaylı bilgi almak için bizimle iletişime geçin
+90 212 326 68 68
+90 212 326 68 69
