2024 yılı KVKK Yazı Dizisi 1 | Kişisel Verileri Koruma Kurumu Ocak 2024 Duyuruları
2024 yılı ocak ayında Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yayınlanan duyuruları derledik.
1. Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması Hakkında Kişisel Verileri Koruma Kurulunun 14.12.2023 Tarihli ve 2023/2135 Sayılı Kararı
Kişisel Verileri Koruma Kurul (“Kurul”) tarafından 2023/2135 Sayılı Kararı ile 6698 sayılı Kişisel Verilerin Korunması Kanun (“Kanun”) ile Veri Sorumluları Sicili Hakkında Yönetmelik çerçevesinde yapılan inceleme neticesinde köy kamu tüzel kişiliklerinin Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmiştir. Bu karar, 12.01.2024 tarihli ve 32427 sayılı Resmî Gazete’de yayımlanmıştır. Bu tarihten itibaren köy kamu tüzel kişiliklerinin Veri Sorumluları Sicili’ne kayıt zorunluluğu bulunmamaktadır.
Yayımlanma tarihi: 14.01.2024
2. Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber
Kişisel Verileri Koruma Kurumu (“KVKK”) tarafından 16.01.2024 tarihinde yayımlanan Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber (“Rehber”), 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatına uygun şekilde T.C. kimlik numaralarının işlenmesine ilişkin yol gösterici bir kaynak niteliğinde olacak şeklide yayımlanmıştır.
Bu Rehber’de farklı yöntemler mümkün olduğu T.C. kimlik numaralarının işlenmesi yoluna gidilmesinin sakıncasına dikkat çekilerek, Kurum birçok şikâyet ve ihbar üzerine en önemli kişisel verilerimizin başında yer alan T.C. Kimlik numaralarının işlenmesinde dikkat edilmesi gereken hususları içerir Rehber yayımladığını belirtmiştir.
Rehber’de, T.C. kimlik numaralarının Kanun’a uygun şekilde işlenmesine ilişkin tavsiyeler verilmiş; farklı sektör ve alanlar bakımından T.C. kimlik numaraların işlenmesine ilişkin detaylı bilgi verilerek uygulamacılara yol gösterilmesi hedeflenmiştir.
Yayımlanma tarihi: 16.01.2024
Rehber’in tamamına buradan ulaşabilirsiniz.
3. Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Finansal Hesap Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri Hakkında Kamuoyu Duyurusu
Yurt dışında ikamet eden Türkiye Cumhuriyeti vatandaşları tarafından finansal hesap verilerinin yurt dışındaki makamlara aktarılıp aktarılmadığı hususunda bilgi talep edilmesine rağmen yeterli cevap alınmadığı gerekçesi ile başvuru hakkında Kurum tarafından duyuru yapılmıştır.
Finansal hesap verilerinin uluslararası anlaşmalar çerçevesinde yurt dışına aktarımının söz konusu olduğu, Gelir İdaresi Başkanlığı’nın bilgi değişimi için bilgi toplama ve paylaşmaya yetkili olduğu belirtilmiş ve 28.12.2023 tarihli ve 2023/2199 sayılı Kurul Kararı ile uluslararası sözleşme hükümleri söz konusu olduğunda bu anlaşmalar çerçevesinde kişilerin açık rızası aranmaksızın ya da Kurul iznine tabi olmaksızın kişisel verilerin yurtdışına aktarılabileceği ve hukuka aykırılık teşkil etmeyeceği, uluslararası anlaşma hükümleri kapsamında gerçekleştirilecek yurt dışına kişisel veri aktarım faaliyetlerinin Kanun’a uygun olduğu ve Kanun kapsamında yapılacak bir işlem olmadığına karar verilmiştir.
Alınan Kurul kararı doğrultusunda Kurum tarafından, aynı gerekçeler ile bugüne kadar intikal eden ve bundan sonra intikal edecek şikayetlerin değerlendirmeye alınmayacağı hususu duyurulmuştur.
Yayımlanma Tarihi: 17.01.2024
İlgili duyurunun tamamına buradan ulaşabilirsiniz:
4. Deepfake Bilgi Notu
Kişisel verilerin güvenliğini tehdit eden potansiyel risklerin, Deepfake teknolojisiyle nasıl tespit edilebileceği ve önlenmesi için alınabilecek tedbirler hakkında bilgi içeren duyuru yayımlandı. Bu duyuru, Deepfake teknolojisinin oluşturduğu sahte içeriklerin yarattığı risklere dikkat çekiyor ve bu risklere karşı alınabilecek savunma stratejilerini öneriyor.
İnsanların yüz, hareket ve sesini gerçeğe uygun olacak şekilde taklit etmek veya değiştirmek için yapay zeka teknikleri aracılığıyla fotoğrafların, videoların veya seslerin kullanılmasına anlamına gelen Deepfake ile oldukça gerçekçi sahte içeriklerin oluşturulabiliyor olması gerekçesi ile Kurum; Deepfake’in kişisel veriler açısından oluşturduğu tehditlere, nasıl tespit edilebileceğine ve Deepfake teknolojisine karşı kişilerin ve kurumların neler yapabileceğine ilişkin bilgilere yer verilen duyuru yayımlamıştır.
Kurum’un ifade ettiği üzere, gerçek olmayan ama içinde gerçek kişisel verilen de bulunduran Deepfake’lerin, kişisel verilerin manipüle edilerek açtığı tehlikeler gün geçtikçe artmaktadır. Sahte içerik oluşturan Deepfake’ler; kişisel verilerin açık rıza alınmaksızın, dürüstlük kurallarına aykırı ve meşru olmayan amaçlarla işlenmesi sebebi ile hukuka aykırılıklara yol açmaktadır.
Bilgi notunda, Deepfake teknolojisi ile sonucunda; sahte video ve sesler oluşturularak manipülasyon yapılması, finansal zarar oluşturulması, siber zorbalık ve dolandırıcılık başta olmak üzere oluşan tehditlere de değinilmiştir.
Ayrıca Kurum tarafından, Deepfake’in açtığı tehlikelerin önüne geçilebilmesi adına kişiler ve kurumlar tarafından alınabilecek önlemlere ilişkin olarak;
-Sosyal medya platformlarda özellikle yüz ve seslerin barındıran kişisel verilerin paylaşılmasında hassas davranılması,
-Deepfake üretimi yapan uygulamalarının kontrol altında olması,
-İlgili kurumların kontrol mekanizmaları ve anti-deepfake yazılımlarının geliştirmesi,
-Siber güvenlik şirketleri tarafından savunma yöntemleri, içerik tespiti yapan araçlar geliştirilmesi ve videoların incelenmesi
gerektiği yönünde tavsiyelerde bulunulmuştur. Bilgi notu aynı zamanda, bir içeriğin Deepfake olup olmadığını anlamak için sorulması gereken soruları örneklerle açıklamıştır.
Yayımlanma Tarihi: 19.01.2024
Bilgi notunun tamamına buradan ulaşabilirsiniz:
5.Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi
Seçim faaliyetleri sürecinde, kamu kurumları ve siyasi partiler tarafından kişisel verilerin işlenmesi kaçınılmazdır. Ancak bu süreçte kişisel verilerin işlenmesi faaliyetlerinin mevzuata uygun bir şekilde; genel ilkelere uygunluk, geçerli bir işleme şartına dayanılması, veri sorumlularına getirilen yükümlülüklere uygun olarak gerçekleşmesi gerekmektedir. Bu sebeple, Kurum tarafından seçim faaliyetlerinde yer alan kamu idarelerine, siyasi partilere, adaylara ve seçmenlere Kanun kapsamında yerine getirmeleri gereken yükümlülüklerin veya sahip oldukları hakların hatırlatılması amacıyla rehber yayınlanmıştır.
Rehberde; Yüksek Seçim Kurulu (“YSK”) ve YSK ile ilgisi çerçevesinde ilgili kamu kurum kuruluşları, siyasi partiler, adaylar, bağımsız adaylar ve seçmenlere ilişkin değerlendirmelere yer verilmiş olup YSK, siyasi partiler ve bağımsız adaylar veri sorumlusu olarak ele alınmıştır.
Rehber içeriğinde, ilgili veri sorumlularının Kanun’dan doğan yükümlülükleri Kurum tarafından aşağıdaki tablodaki gibi değerlendirilmiştir:
AydınlatmaYükümlülüğü | Veri Sorumluları Siciline Kayıt Yükümlülüğü | Veri Güvenliğine İlişkin Yükümlülükler | Silme, Yok Etme, Anonim Hale Getirme Yükümlülüğü | |
YSK | YOK | YOK | VAR | VAR |
Siyasi Partiler | VAR | YOK | VAR | VAR |
Bağımsız Adaylar | VAR | VAR | VAR | VAR |
Aynı zamanda Rehber, veri sorumluların işleme şartlarını örneklendirmiştir. Kanun, özel nitelikli kişisel verilerin işlenmesi durumunda ilgili kişinin açık rızasının aranmayacağını belirtmiştir. Bu durum kanunda açıkça öngörülmelidir.
Ayrıca, YSK kararı ile sınırı çizilen propaganda yasağı gereği; siyasi partilerin ve bağımsız adayların vatandaşlara sesli, görüntülü veya yazılı mesajlar gönderemeyecekleri ifade edilerek vatandaşların kişisel verilerini bu amaçla işlememesi gerekmekte olduğunun altı çizilmiştir.
Kurum, YSK’nın zararın giderilmesini talep etme hakkı hariç ilgili kişinin haklarını düzenleyen hükümlerden muaf olduğu; siyasi partiler ve bağımsız adaylar ise söz konusu faaliyetleri ile ilişkili olarak Kanun kapsamında kendilerine yapılan başvurulara uygun olarak cevap vermekle yükümlü olduğu değerlendirmiştir.
Yayımlanma Tarihi: 24.01.2024
Rehberin tamamına buradan ulaşabilirsiniz: