Bu yilin raporunda, kisisel verilerin korunmasi alanindaki son gelismeler, alinan son kararlar ve yayinlanan kilavuzlar yaninda kisisel verilerin korunmasi hukukunun temel düzenlemeleri ve prensipleri, Türkiye'deki gelismeler ile bu alandaki en önemli hususlara odaklanmaktayiz.

6698 sayili Kisisel Verilerin Korunmasi Kanunu ("Kanun") bilindigi üzere 2016 yilinda yürürlüge girmistir. 2022 yilinda gerek yeni düzenlemeler gerekse Kisisel Verileri Koruma Kurulu ("Kurul") kararlari dogrultusunda, kisisel verilerin korunmasi hukukunda Kanun ile birlikte olusturulan temelin ötesine geçilerek yerlesik içtihatlarin olusmaya basladigi gözlemlenmistir. Bununla beraber kisisel verilerin korunmasi hususundaki Türk Ceza Kanunu düzenlemeleri kapsaminda suç unsuru olusturan fiiller de yargiya konu olmustur. Anayasa Mahkemesi kararlari ile kisisel verilerin korunmasi noktasinda temel kararlar verildigi gözlemlenmistir.

Özetle, 2022 yilinda sigorta, bankacilik, saglik ve hizmet sektöründe pek çok veri sorumlusu hakkinda karar alinmistir ve veri sorumlularinca veri ihlal bildirimlerinde bulunulmustur.

2022 yilinda Kisisel Verileri Koruma Kurumu ("Kurum"), veri ihlal bildirimleri dogrultusunda finans, e-ticaret, sosyal medya ve online oyun sektörlerinde faaliyet gösteren veri sorumlularinin internet sitelerine giris için kullanilan kullanici hesap bilgilerine veri sorumlularinin sistemlerindeki veya son kullanici bilgisayarlarindaki güvenlik açiklari vasitasiyla ulasilmasi ve yaygin olarak yasanan bu gibi veri ihlallerini önlemek veya meydana gelmesi halinde ilgili kisiler üzerinde olumsuz sonuç dogurma olasiliginin azaltilmasini temin etmek amaciyla yayimladigi Kullanici Güvenligine Iliskin Veri Sorumlulari Tarafindan Alinmasi Tavsiye Edilen Teknik ve Idari Tedbirlere Iliskin Kamuoyu Duyurusu ile Kurum nezdindeki kullanici verisine iliskin hassasiyeti ortaya koymustur.

2022 yilinin ilk aylarinda, Sosyal Güvenlik Kurumunun ("SGK") görev ve yetkileri kapsaminda otomatik veya otomatik olmayan yollarla elde ettigi verilerin islenmesine iliskin olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasina ve Islenmesine Iliskin Yönetmelik yayimlanmistir.

Ayrica Kurum tarafindan Kisisel Verilerin Korunmasina Iliskin Bankacilik Sektörü Iyi Uygulamalar Rehberi yayimlanmistir. Bu rehberde bankalar, Bankacilik Kanunu'nun 4.maddesi uyarinca gerçeklestirdikleri faaliyetler bakimindan veri sorumlusu olarak kabul edilmis, veri sorumlusu ile veri isleyen arasindaki iliski kapsaminda veri isleme sözlesmelerinde bulunmasi gereken noktalara deginilmis, kisisel verilerin isleme sartlarindan olan açik rizaya ve veri sorumlusu olan bankalarin yükümlülüklerine detayli olarak yer verilmistir. Bu rehberin ardindan yine sik ve agir ihlallerin meydana gelmesi muhtemel bir alan için Sigortacilik Verilerinin Toplanmasi, Saklanmasi ve Paylasilmasina Dair Yönetmelik yayimlanmistir. Bu yönetmelikte sigortacilik verisi kavrami kapsami genis tutulacak sekilde tanimlanmis; sigortacilik verisini tutanlarin Sigorta Bilgi ve Gözetim Merkezi tarafindan talep edilen belgeleri vermekle yükümlü oldugu, sigortacilik verilerinin kullanimindaki temel amaçlarin ve Sigorta Bilgi ve Gözetim Merkezi özelindeki kullanim amaçlarinin açikça belirlendigi, sigortacilik verilerine iliskin bilgi edinme ve verilerin degistirilmesi taleplerine iliskin düzenleme getirildigi görülmüstür.

Kurul ilk defa münhasiran otomatik yollarla kisisel verilerin islenmesini konu alan ve profillemeyi degerlendiren bir karar alarak, kiralama firmalari arasinda kullanilan ve kullanicilar hakkinda kara liste programi olusturulmasini saglayan yazilim hakkinda degerlendirmelerde bulunmus, verilerin hukuka aykiri sekilde islendigi sonucuna varmis ve ortak veri sorumluluguna isaret edilmistir.

Kurul biyometrik verilerin islenmesine iliskin olarak bu yöntemin çok istisnai olarak kullanilmasi gerektigine isaret eden yaklasimini devam ettirerek, çalisanlarin ise giris çikisin kontrolünde ve is sagligi ve güvenliginin saglanmasinda çalisanlarin biyometrik verisinin islenmesini gerektiren yöntemlere basvurulamayacagi sonucuna ulasan yeni bir karar daha yayinlamistir. Özellikle, biyometrik veri islenmesinin giris çikis saatlerinin kontrolü ile is sagligi ve güvenliginin saglanmasi açisindan orantili bir uygulama olmadigi, bu amaçlarin alternatif seçenekler ile gerçeklestirilmesi gerektigi belirtilmis ve karar tarihine kadar yüz tanima sistemleri vasitasiyla elde edilen kisisel veriler ile dogrulama verilerinin imha edilmesine hükmedilmistir. Bu konuda Kurulun bir içtihat olusturdugu gözlemlenmistir.

Ayrica Kanun'da veri sorumlulari için getirilen Veri Sorumlulari Sicili'ne (VERBIS) kayit yükümlülügünün pandemi sebebiyle aksamasi gözetilerek sicil kayitlarinin envantere uygun olarak tamamlanmasi için verilen sürelerin sonuna gelinmis olup 2022 yili içerisinde yapilan Kurum duyurularindaki hatirlatmalarin akabinde, kayitlarin kontrolü ile kontrolü takiben bu yükümlülügü yerine getirmeyen veri sorumlulari hakkinda idari para cezasina hükmedilmeye baslanmistir. Kurulun, idari para cezasi miktarlarini "Yurt Içinde Yerlesik Veri Sorumlulari Için Idari Para Cezasi Tutarlari Algoritma Tablosu" dogrultusunda belirledigi belirtilmistir.

Kurul çerez uygulamalari ile hukuka aykiri veri isleyen e-ticaret sektöründe faaliyet gösteren veri sorumlusu hakkinda idari para cezasi uyguladigi bir karar yayinlamistir. Kurul Haziran 2022'de Çerez Uygulamalari Hakkinda Rehber yayinlayarak çerez uygulamalari ile hukuka uygun veri isleme kriterlerini ve kosullarini açiklamistir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.