Kişisel Verileri Koruma Kurumu, ocak ayı içerisinde çeşitli rehberler, bilgi notu, kamuoyu duyurusu ve karar yayımlamıştır. Bu içerikler, maddeler halinde aşağıda sunulmaktadır:

• Köy Tüzel Kişiliklerinin Veri Sorumluları Siciline Kayıt Yükümlülüğünden İstisna Tutulması Hakkında Kurul Kararı: Kişisel Verileri Koruma Kurulu tarafından, 6698 Sayılı Kanun ve Veri Sorumluları Sicili Hakkında Yönetmelik kapsamında yapılan inceleme ve değerlendirmeler neticesinde, Köy kamu tüzel kişiliklerinin Veri Sorumluları Siciline kayıt yükümlülüğüne istisna getirilmesine karar verilmesine 12.01.2024 tarihinde karar verilmiştir.

• Türkiye Cumhuriyeti Kimlik Numaralarına İlişkin Rehber: Özellikle son yıllarda sıklıkla işlenen ve elde edilmesi halinde ilgili kişilerin diğer kişisel verilerine erişim imkanı sunan T.C. Kimlik Numaralarına ilişkin 16.01.2024 tarihinde yayımlanmış olan rehberde, işlenmesinin öngörüldüğü birçok mevzuata ilişkin bilgilere yer verilmiş, buna ilişkin yol gösterici mahiyette tavsiyeler verilmiştir. Bu kapsamda, T.C. kimlik numaralarının 6698 sayılı Kişisel Verilerin Korunması Kanunu ve diğer mevzuata uygun olarak işlenebilmesi için, özellikle ilgili kişilerin kişisel verilerinin korunmasını isteme hakkına daha az müdahalede bulunan yöntemlerin tercih edilmesi ve bu hususta veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınması gerekliliklerine değinilmiştir. Ayrıca rehberde, e-ticaret, kargo, taşımacılık, elektronik haberleşme, sigortacılık sektörlerinin ve kamu kurum ve kuruluşlarının tabi olduğu mevzuatlarda, T.C kimlik numaralarının işlenmesine dair yer alan hükümler hakkında bilgi verilmiştir.

• Yurt Dışında Yaşayan Türkiye Cumhuriyet Vatandaşlarının Finansal Hesap Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri Hakkında Kamuoyu Duyurusu: Yurt dışında yaşayan Türkiye Cumhuriyeti vatandaşları tarafından  finansal hesap verilerinin yurt dışındaki makamlara aktarılıp aktarılmadığı konusunda T.C. Gelir İdaresi Başkanlığı ve hesap bilgilerinin bulunduğu bankalar hakkında 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilen şikayetler neticesinde Kurul, otomatik veri paylaşımına ilişkin hususların “Finansal Hesap Bilgilerinin Otomatik Değişimine İlişkin Çok Taraflı Yetkili Makam Anlaşması”nda düzenlendiği, Anayasanın 90’ıncı maddesinin “usulüne göre yürürlüğe konulmuş milletlerarası anlaşmalar kanun hükmündedir” hükmü uyarınca, bu anlaşma kapsamında işlenen kişisel verilerin Kanun’un 9’uncu maddesinin (6) numaralı fıkrasında yer alan “Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” işleme şartının kapsamında olduğu, bu kapsamda uluslararası anlaşma hükümleri kapsamında gerçekleştirilecek yurt dışına kişisel veri aktarım faaliyetlerinin Kanun'a uygun olduğu değerlendirmelerinde bulunmuştur. Buna göre, 6698 sayılı Kanun kapsamında yapılacak bir işlem olmadığına ve konuyla ilgili olarak bugüne kadar yapılmış ve bundan sonra yapılacak şikayetlerin artık değerlendirmeye alınmayacağına 28.12.2023 tarihli ve 2023/2199 sayılı karar ile karar verilmiştir. 

• Deepfake Bilgi Notu: Kişisel Verileri Koruma Kurumu tarafından 19.01.2024 tarihinde yayımlanan deepfake hakkındaki bilgi notunda, özellikle deepfake'in ne olduğu, ne gibi bir tehdit oluşturduğu, bu tehditlere karşı neler yapılabileceği hususları kalem altına alınmıştır. Bu kapsamda, deepfake’in sahte sesler ve videolar oluşturarak manipülasyon yapma, finansal zarar oluşturma, siber zorbalık, itibarsızlaştırma, dolandırıcılık gibi tehlikelerinin bulunduğunu belirten Kurum, bunların tespit edilebilmesi için maddeler halinde kısa bir kontrol listesine de yer vermiştir. Ayrıca bilgi notunda, deepfake teknolojisinden korunabilmek için gerçek kişilerin farkındalığının artırılmasının önemine değinilmiş olup kurum ve kuruluşların da ağ ve siber güvenlik operasyonlarını etkili bir şekilde yönetmesi gerektiği ifade edilmiştir. Son olarak, siber güvenlik şirketleri tarafından alınabilecek olan deepfake ile oluşturulan içerikleri tespit edecek araçların geliştirilmesi, deepfake içeriğinde kullanılan orjnial içeriklerin referans olması için veri tabanlarının oluşturulması, deepfake ile gerçekleştirilebilecek siber saldırılara karşı savunma yöntemlerinin geliştirilmesi gibi önlemler de maddeler halinde sıralanmıştır.

• Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi: Seçim dönemlerinde birçok nedenden ötürü ilgili kişilerin, kişisel verileri işlenebilmektedir. Bu kapsamda Kurul, 24.01.2024 tarihinde, Yüksek Seçim Kurulu ve ilgili kamu kuruluşları, siyasi partiler ve bağımsız adaylar tarafından işlenen kişisel verilerin işlenme şartlarının belirtildiği bir rehber yayımlamıştır. Rehberde seçmen kütüğünün düzenlenmesi, güncellenmesi, askıya çıkartılması, aday adaylığı, aday gösterme, kesin aday listelerinin ilanı, seçim propagandası, kamuoyu araştırmaları, oy verme vb. süreçlerde işlenen kişisel verilere ilişkin bilgiler verilmiştir. Ayrıca, veri sorumlularının bu süreçlerde yerine getirmesi gereken yükümlülüklerine ilişkin bilgilere yer verilmiş, ilgili kişilerin haklarına dair detaylı hatırlatmalar yapılmıştır. Rehberin en son kısmında ise Kurul'un önerileri ve tavsiyelerinin olduğu bir bölüm yer almaktadır.

• 28 Ocak Veri Koruma Günü Etkinliği: Kurum'un konferans salonunda gerçekleştirilen 28 Ocak Veri Koruma Günü Etkinliği'nde konuşan Başkan Prof. Dr. Faruk Bilir, "Kurumumuz, kişisel verilerin korunması hakkının etkili bir hak arama yolu olarak varlığını sürdürebilmesi için çalışmalarına devam etmektedir. Bugüne kadar 38 bin 789 ihbar, şikayet ve başvuru Kurula intikal etti, bunlardan 37 bin 10’u sonuçlandırıldı. Bunun yanı sıra 1317 veri ihlal bildiriminin 290’ı Kurum internet sitesinde ilan edildi. Yapılan incelemeler sonucu ise 463 milyon 801 bin TL idari yaptırım uygulandı. Kurumun görev alanına giren konularda 1080 hukuki görüş verildi. Ayrıca yurt dışına kişisel veri aktarımında yeterli nitelikleri taşıyan 8 taahhütname Kurul tarafından onaylandı" ifadelerini kullandı.

Quebec Veri Koruma Otoritesi, 2022-2023 yılı faaliyet raporunu yayımladı. Raporda, 2019-2023 yılı Stratejik Planında belirtilen bütün hedeflere ulaşıldığı ifade edildi.

Raporda, faaliyetlere ilişkin birtakım istatistiki bilgiler de yer alıyor. Bunlar arasında, işleme alınan şikayet sayısı, gerçekleştirilen denetimler, kurumun bütçesi gibi hususlar da yer alıyor.

Kişisel Verileri Koruma Kurumu tarafından “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” yayımlandı.

Kişisel Verileri Koruma Kurumu, KVKK Bülten’in 2. sayısını “Gölgede Kalan İzler: Unutulma Hakkı” teması ile yayımladı.

Kar amacı gütmeyen kuruluş Identify Theft Resource Center (ITRC), 2023 yılına ilişkin İş Etki Rapor’u yayımladı. Raporda, ABD’de faaliyet gösteren küçük işletmelerin siber saldırıya maruz kalma oranıyla ilgili istatistikler yer aldı. Rapor 551 küçük işletme sahibiyle görüşme yapılarak oluşturuldu.

Rapora göre, ABD’deki küçük işletme sahiplerinin %73’ü siber saldırıya maruz kaldığını bildirdi. Oluşan veri ihlallerinde en çok çalışan ve müşteri bilgilerinin hedef alındığı ifade edildi.

Rapora katılan işletme sahiplerinin %85’i siber saldırıya müdahale etmeye hazır olduklarını bildirirken, bu oranın geçtiğimiz sene %70 olduğu raporda ifade edildi.

Ayrıca, çok faktörlü kimlik doğrulama, zorunlu güçlü parolalar ve çalışanlar için erişim yetkisinin sınırlanması gibi iyi siber güvenlik uygulamalarının, katılımcıların yalnızca yaklaşık %30’u tarafından benimsendiği belirtildi.

Belçika Veri Koruma Otoritesi APD, kuruluşların çerez kullanımının mevzuata uygunluğunun test edilebilmesi adına bir "checklist" yayımladı.

"Checklist", çerez uygulamalarında yapılması ve yapılmaması gerekenleri başlık altına alırken, yalnızca kesinlikle gerekli çerezlerin kullanımı için ilgili kişiden rıza alınmasına gerek olmadığını, diğer çerezler için ilgili kişinin onayının alınması gerektiğini ifade ediyor.