KVKK Bülteni – Mart 2024
GRC LEGAL olarak profesyonel uzmanlık alanlarımızdan olan Veri Koruma Hukuku alanında 2024 yılı Mart ayında yaşanan yenilikleri ve güncellemeleri aktarmak adına hazırladığımız bilgi yazısını ve değerlendirmelerimizi faydalarınıza sunarız.
Mart ayında Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yalnızca 2 adet veri ihlal bildirimi yayımlandığı görülmektedir. Veri sorumlusu sıfatını haiz Allianz Sigorta A.Ş. tarafından iletilen veri ihlal bildiriminde özetle; veri sorumlusuna ait bazı bilgilerin siber saldırganlar tarafından internette satışa sunulduğunun Ulusal Siber Olaylara Müdahale Merkezi tarafından bildirilmesiyle tespit edildiği ve yapılan incelemeler neticesinde veri sorumlusu acentelerinin, talep ve şikâyetlerini veri sorumlusuna ilettiği “Hizmet Masası” isimli platforma siber saldırganlarca yetkisiz erişim sağlandığı belirtilmiştir. Kurul tarafından yayımlanan bir diğer veri ihlal bildirimi ise veri sorumlusu bünyesinde gerçekleşen fidye yazılımı saldırısı sonucu gerçekleşmiş olup ihlalden etkilenen kişisel veri kategorileri arasında özel nitelikli kişisel verilerin de bulunduğu tespit edilmiştir.
Her ne kadar gelişen teknoloji ile birlikte en etkili ve verimli teknik tedbirlerin alındığı yapıların dahi siber saldırılara maruz kaldığı görülse de veri sorumlularına getirilen ‘her türlü teknik ve idari tedbiri alma’ yükümlülüğü kapsamında gerekli olan idari ve bilişim ağlarında hangi yazılımların ve servislerin çalıştığının kontrol edilmesi, sızmanın olup olmadığının kontrolü, işlem hareketlerinin kaydının tutulması, zafiyetlerin tespiti gibi teknik tedbirlerin alınmasının gerekliliğinin altını çizmek gerekmektedir.
Geçtiğimiz ayın gündemlerinden kişisel veriye temas eden bir süreç olarak 31 Mart 2024 tarihinde ülkemizde gerçekleşen yerel seçimlere işaret edilebilecektir. Yerel seçimler sebebiyle siyasi partiler ve adaylar, pek çok vatandaş ile ticari elektronik ileti niteliğinde SMS ve aramalar aracılığıyla iletişime geçmiştir. Herhangi bir siyasi partiye üyeliği bulunmayan vatandaşların onayları alınmaksızın söz konusu iletişimlere mütemadiyen maruz bırakılmalarının ve siyasi partilerin bu konuda herhangi bir çekince göstermeksizin süreci yürütmelerinin Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) ilgili tüzel kişilikler nezdinde uygulanmadığının açık bir göstergesi olduğu söylenebilecektir.
Yakın zamanda yürürlüğe girecek olan yeni Kanun değişiklikleri sebebiyle Kurul’un, veri sorumlularının ve veri işleyenlerin gireceği yeni uyum sürecine istinaden birtakım yol gösterici rehberler, Standart Sözleşme Maddeleri vb. kalemlere yönelik aksiyon almakta olduğu düşünülmekte olup bu ayki pasif tutumunun adaptasyon süreçlerinden kaynaklandığı varsayımında bulunmak yanlış olmayacaktır.