MGC Legal - ICT LAW bulteni - Aralik 2020

1. ARALIK 2020
ICT BÜLTEN

2. Veri Kaydedebilme Özelikleri Nedeniyle Bireysel Kullanıcılara ve
Özellikle Şirketlere Çok Büyük Kolaylıklar Sağlayan IoT Cihazları,
2021’de Yeni Güvenlik Standartlarına Tabi Olacak
Meclis görüşmelerine ilişkin tutanaklarda internet bağlantısının fiziksel
cihazlara ve günlük nesnelere genişletilmesi olarak tanımlanan IoT
teknolojisi ile ilgili bir araştırma, işletmelerin yaklaşık %25'in Nesnelerin
İnterneti (IoT) teknolojisini kullanmakta olduğunu ve bu rakamın önemli
ölçüde artmasının beklendiğini ortaya koydu. Ancak bu büyüme, IoT
teknolojisi için yeni ve çeşitli uygulamalar geliştirmek ve sunduğu farklı risk
türlerini dikkate almak ihtiyaçlarını da beraberinde getirdi. Bu nedenle 4
Aralık 2020'de ABD Başkanı Trump, 2020 tarihli IoT Siber Güvenliği
İyileştirme Yasası'nı (Yasa) imzaladı. Ancak Yasa sadece federal kurumlara
yönelik olarak düzenlendi. Meclis tarafından Eylül 2020'de kabul edilen bu
Yasa, bir kurumun sahip olduğu veya kontrol ettiği bilgi sistemlerine bağlı
olan IoT cihazlarının federal kurum tarafından güvenlik standartlarına
uygun kullanımı ve yönetimi için hukuki bir siber güvenlik çerçevesi
oluşturulmasını zorunlu kıldı. Sadece federal hükümet tarafından tedarik
edilen cihazları ilgilendirse de, hükümlerinin özel sektörde de olumlu etkiler
yaratacağı ve bu etkilerin IoT güvenlik standartlarının oluşturulmasına
öncülük edeceği muhtemel görüldü.

3. Kaliforniya Gizlilik Hakları Yasası Yürürlüğe Girdi
Kaliforniya Dışişleri Bakanı Alex Padilla’nın, 11 Aralık'ta Kasım Genel
Seçimlerinin sonuçlarını onaylamasının ardından, Kaliforniya Gizlilik Hakları
Yasasının (CPRA) da yürürlüğe gireceği duyuruldu. Kaliforniya Gizlilik
Hakları Yasası (CPRA), Kaliforniya'da ikamet edenlere AB Genel Veri
Koruma Tüzüğü’nde (GDPR) bulunan kişisel bilgilere erişim, silme ve itiraz
hakları gibi bazı kişisel gizlilik hakları veren 2018 tarihli Kaliforniya Tüketici
Gizliliği Yasası'nın (CCPA) izinden giden ilk yasa değil. Ne var ki CPRA,
yalnızca Kaliforniya Tüketici Gizliliği Yasası’nı güncellemekle kalmadı aynı
zamanda,
• Verilerin "satışından" ve "paylaşılmasından" vazgeçme mekanizmalarının
özellikleri,
• Tüketicilerin kişisel bilgilerinin düzeltilmesini hangi sıklıkla ve hangi
koşullarda talep edebileceği, ve
• Yıllık siber güvenlik denetimleri ve risk değerlendirmesi standartları gibi
hususlarda yeni prensipler ortaya koydu.

4. Fransız Veri Koruma Otoritesi AB Tanımlama Bilgisi (Çerez)
Politikasına Uyulmaması Nedeniyle Google ve Amazon’a Para
Cezası Verdi
7 Aralık 2020 tarihinde, Fransız veri koruma otoritesi CNIL (Commission
nationale de l'informatique et des libertés), önceden izin alınmadan ve
yeterli bilgi verilmeden Fransa'daki kullanıcıların bilgisayarlarına reklam
çerezleri yerleştirmeleri nedeniyle Amazon ve Google'a önemli para
cezaları verdi. Amazon Europe Core 35 milyon Euro, Google LLC ve
Google Ireland Limited Şirketleri ise toplam 100 milyon Euro para cezasına
çarptırıldı. CNIL, bu cezaların miktarını belirlerken iddia edilen ihlallerin
ciddiyetini, etkilenen kullanıcıların sayısını ve şirketlerin reklam çerezleri
aracılığıyla toplanan verilerden dolaylı olarak elde ettiği reklam gelirlerini
dikkate aldı.

5. Apple, 8 Aralık’a Kadar Tüm Uygulamaların Yeni Gizlilik
Etiketlerini İçermesini Şart Koştu
Apple kısa bir süre önce uygulama geliştiricilerinin, uygulamalarına gizlilik
açıklamalarının "Besin Öğeleri Etiketi" tarzında bir özetini oluşturacak bir
dizi evet/hayır kutuları eklemeleri gerektiğini duyurdu. Resmi olarak "App
Privacy" olarak adlandırılan bu yeni özetin, uygulamayı yüklemeden önce
kullanıcılara sunulacağı belirtildi. Bu, Apple'ın uygulamaların kullandığı
verilere dair şeffaflığı artırma çabasındaki en son adım oldu ve uygulama
geliştiricilerinin 8 Aralık 2020'den sonra uygulamalarını güncellemeye
devam edebilmeleri için hemen harekete geçmelerini ifade etti. Gerekli
bilgileri sağlayamazlarsa güncelleme yapma izinlerini kaybedecekleri de
vurgulandı. Apple bu kuralı iOS 14'ün en son sürümü yüklü olan tüm iOS
cihaz sahipleri için resmen başlattı.

6. Kişisel Verilerin Korunması Mevzuatı Açısından
AB - Birleşik Krallık Serbest Ticaret Anlaşması
AB ve Birleşik Krallık, Serbest Ticaret Anlaşması’na ilişkin olarak 24 Aralık
2020’de prensip anlaşmasına vardı. Kişisel verilerin korunmasına ilişkin
olarak ise Avrupa Komisyonu’nun Birleşik Krallık’ın veri koruma yasalarına
ilişkin yeterlilik değerlendirmesine olanak tanımak için ek olarak altı aylık
bir süresi söz konusu olup bu süre zarfında kişisel veriler, ek koruma
önlemleri olmadan AB ve Birleşik Krallık arasında aktarılmaya devam
edilebilecek.
Söz konusu ek geçiş süresinin ardından kişisel verilerin transferinde
güvenliği sağlamak için farklı önlemler alınmadıkça kişisel verilerin AB'den
Birleşik Krallık'a aktarılması yasaklanacak.

7. Spotify’ın Güvenlik Açığı Kullanıcıların Kişisel Verilerini
İş Ortaklarına Açtı
Birçok Spotify kullanıcısı kişisel verilerinin uygulamanın iş ortaklarına ifşa
olmasının ardından şifrelerini sıfırladı. Uygulama kullanıcılarının kayıt
bilgilerinin üçüncü kişilere yayılmasına neden olan güvenlik zafiyetinin fark
edildikten sonra giderildiği açıklandı.
9 Aralık'ta Kaliforniya Başsavcısına yapılan ihlal bildiriminde Spotify, kusuru
12 Kasım'da farkettiğini ancak "bu güvenlik açığının 9 Nisan 2020 itibarıyla
var olduğunu tahmin ettiğini" beyan etti ve sızıntının ‘‘belirli iş ortakları
tarafından’’ görülebilir olduğunu kabul ederken herkese açık bir erişime
imkan verdiğini reddetti.

8. Avusturalya 1988 Gizlilik Yasası’nda Avrupa Birliği Genel Veri
Koruma Tüzüğü’nden (GDPR) Esinlenerek Reformlar Önermekte
Avustralya Veri Koruma Otoritesi hükümete sunduğu tasarıda Avrupa
Birliği Genel Veri Koruma Tüzüğü’nü örnek alan ve ülkenin 1988 Gizlilik
Yasası’nda geniş kapsamlı değişiklikler öngören bir değişiklik teklifinde
bulunduğunu duyurdu.
Tasarı büyük işletmelerin kişisel verileri toplama, işleme ve anonim hale
getirmede uymaları için birtakım ilkeler öngörüyor.

9. Federal Ticaret Komisyonu Dev Dijital Medya Servislerinden
Kullanıcılarından Nasıl Kişisel Veri Topladıklarını ve
Nasıl Kullandıklarını Açıklamalarını İstedi
Amerika’da Federal Ticaret Komisyonu dokuz dev teknoloji şirketinden
kullanıcılarının kişisel verilerini nasıl topladıkları ve bunları nasıl kullandıkları
ile ilgili bilgi paylaşmalarını talep etti.
Söz konusu teknoloji şirketleri, Amazon, TikTok’un sahibi ByteDance,
Discord, Facebook ve ona bağlı WhatsApp, Reddit, Snap, Twitter and
Google’ın sahip olduğu YouTube olup her birine veri uygulamaları
hakkında bilgi paylaşmaları için talimat gönderildi. Şirketlerin talimata
cevap vermek için 45 günü bulunuyor.

10. ABD’de Bazı Eyaletler Aşılanan Bireylerin Kişisel Verilerini
Talep Ediyor
The New York Times’ın haberine göre, Trump yönetiminin eyaletlerden
Covid-19 aşısı olan bireylerin -isimleri, doğum tarihleri, etnisite ve
adreslerini de içeren- kişisel verilerini göndermelerini talep etmesi, eyalet
yetkilileri arasında federal aşı kayıtlarının kötüye kullanılabileceği nedeniyle
endişeye sebep oldu.
Federal yetkililer ise bilgilerin diğer federal ajanslarla paylaşılmayacağını ve
eyaletler arası geçiş yapan bireylerin doz takiplerini yapabilmek, olumsuz
etkileri takip edebilmek ve aşının farklı demografik gruplar üzerindeki
etkilerini değerlendirmek gibi sebeplerden ötürü bilgilerin ‘‘kritik
gereklilikte’’ olduğunu belirtti.

11. Fransa Kişisel Veri Tabanı ile Aşılamayı Takip Edecek
Fransız veri koruma otoritesi CNIL, hükümete planlanan kayıt veri tabanı
için onayını verdi. Buna göre hazırlanacak COVID-19 Aşı Bilgi Sistemi
aşılanan bireylerin kişisel verilerini tutacak.
Hükümetin, 25 Aralık'ta aşılarla ilgili kişisel verileri işleyen bir bilgi
sisteminin oluşturulmasına yönelik çıkardığı kararnamenin ardından
gündeme gelen sistem 4 Ocak’tan itibaren yürürlüğe girecek.
Kararnamenin detaylarına göre sistem, aşı olan kişinin kişisel kimlik
bilgilerini, iletişim bilgilerini, enjeksiyon tarihlerini, aşının uygulandığı yeri,
enjekte edilen aşının bilgilerini ve aşı öncesi ve sonrası tanı koyma işlemini
yapan sağlık çalışanlarının bilgilerini içerecek.

12. +90 850 333 86 60 +90 212 215 25 84 info@mgc.com.tr mgc.com.tr
MGC LEGAL
Büyükdere Cad. No:127 Astoria B Kule
Kat 5 Şişli – İstanbul, TÜRKİYE
İletişim