Kişisel Verileri Koruma Hukuku Güncel Gelişmeler - Mart 2024

Bu makalede Hande Çağla Yılmaz ortak yazar olarak yer almıştır.

İhlal Bildirimleri

OYAK Savunma ve Güvenlik Sistemleri A.Ş.

Veri sorumlusu OYAK Savunma ve Güvenlik Sistemleri A.Ş., sistemlerine fidye yazılım saldırısı gerçekleştiğinin 05.03.2024 tarihinde tespit edildiğini; ihlalden etkilenen ilgili kişi sayısının henüz tespit edilemediğini, ihlalden; çalışanlar, kullanıcılar, aboneler/üyeler, müşteriler, potansiyel müşteriler, ortaklar, paydaşlar, grup şirketler, yüklenici, alt yüklenici ve tedarikçi ilgili kişi gruplarının etkilendiğini Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde:

- İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, görsel ve işitsel kayıtlar, pazarlama ve diğer veriler olduğu,

- İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,

- İhlal hakkında bilgi almak isteyen ilgili kişilere yönelik olarak telefon numarası bilgisi belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7836/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-OYAK-Savunma-ve-Guvenlik-Sistemleri-A-S-

Allianz Sigorta A.Ş.

Veri sorumlusu Allianz Sigorta A.Ş., acenteleri tarafından kendisine gelen talep ve şikayetleri içeren “Hizmet Masası” isimli platforma üçüncü kişiler tarafından yetkisiz erişim sağlandığını, ihlalden Ulusal Siber Olaylara Müdahale Merkezi’nin (“USOM”) bildirimi ile haberdar olunduğunu, USOM’un ayrıca ihlalden etkilenen kişisel verilerin internette satışa sunulduğunu haber ettiğini, ihlalden etkilenen kişi ve kayıt sayısının tam olarak tespit edilemediğini, ihlalden; çalışanlar, iş ortakları, müşteriler ve potansiyel müşteri ilgili kişi gruplarının etkilendiğini Kurul’a bildirmiştir. Yapılan bildirimde:

- İhlalden etkilenen kişisel verilerin tam olarak belirlenemediği ancak; kimlik, görsel ve işitsel kayıtlar, iletişim ve finans (kredi kartı bilgisi dahil) verileri ile özel nitelikli kişisel verilerden felsefi inanç, din, mezhep ve diğer inançlar, sağlık bilgileri ve dernek üyeliği verileri olabileceği,

- İhlal hakkında bilgi almak isteyen ilgili kişilerin e-posta veya çağrı merkezi aracılığıyla bilgi alabileceği belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7841/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Allianz-Sigorta-A-S-

Diğer Gelişmeler

8. Yargı Paketi Kapsamında Kişisel Verileri Koruma Kanunu’nun (“KVVK”) bazı maddeleri değişti.

KVKK madde değişikliklerini de içeren 8. Yargı Paketi, 12.03.2024 tarihinde Resmi Gazete’de yayımlanmıştır. KVKK kapsamında aşağıdaki değişiklikler kabul edilmiştir:

1. Özel nitelikli kişisel verilere ilişkin veri kategorisi ayrımı son bularak bundan böyle tüm özel nitelikli kişisel verilerin işlenmesi aynı işleme şartları ile mümkün olacaktır. Bu şartlar:

a) Açık Rıza,

 

b) Kanunlarda açıkça öngörülmesi,

 

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak kişiler bakımından zorunluluk,

 

d) Alenileştirilmiş veriler,

 

e) Bir hakkın tesisi, kullanılması veya korunması için zorunluluk,

 

f) Sırsaklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,

 

g) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlar tarafından zorunlu olması,

 

h) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumlar tarafından olarak belirlenmiştir.

2. Yurt dışına kişisel veri aktarımı için aşamalı bir sistem öngörülmüştür. Açık rıza işleme şartı, istisnai durumlarda kullanılabilecektir. KVKK’nın 5. ve 6. maddelerinde yer alan kişisel veri işleme şartlarına uygun olmak koşuluyla yeni yurt dışına aktarım şartları ise şöyledir:

a) Aktarım yapılacak ülke, aktarım yapılacak ülke içindeki sektör hakkında veya uluslararası kuruluşlar ile Türkiye arasında Yeterlilik Kararı (Yeterlilik Kararı henüz açıklanmamıştır) bulunması,

 

b) Yeterlilik Kararı bulunmaması ancak aktarım yapılacak ülkede Uygun Güvencelerin bulunması halinde kişisel verilerin aşağıdaki mekanizmalar aracılığıyla yurt dışına aktarımı mümkün olmaktadır:

(i) Kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında milletlerarası sözleşme niteliğinde olmayan bir sözleşmenin varlığı,

 

(ii) Bağlayıcı Şirket Kuralları,

 

(iii) Standart Sözleşmeler,

 

(iv) Taahhütname,

3. Aktarım yapılacak ülkede Yeterlilik Kararı ve Uygun Güvencelerin bulunmaması halinde ise kişisel veriler Arizi Haller kapsamında yurt dışına aktarılabilecektir. İşbu arizi haller KVKK’da sınırlı sayıda sayılmış olup, bunun istisnai aktarımlar olarak anlaşılması gerekmektedir.

4. Yurt dışına kişisel veri aktarımı amacıyla imzalanacak standart sözleşmelerin veri sorumlusu veya veri işleyen tarafından imza tarihinden 5 iş günü içerisinde Kurul’a bildirilmesi yükümlülüğü getirilmiştir. İşbu bildirimi yapmayan veri sorumluları ve veri işleyenler için 50.000 TL – 1.000.000 TL arasında idari para cezası düzenlenmiştir.

5. Kurul tarafından verilen kararlara (hem talimatlandırma hem idari para cezası) itiraz için, İdare Mahkemesi tek yetkili olarak belirlenmiştir.

6. 01.06.2024 tarihinde halen Sulh Ceza Hakimliğinde görülmekte olan idari para cezası itiraz dosyaları ise dosyanın bulunduğu hakimlikte görülmeye devam edecektir. Dosyaların tevdiisi vb. süreçler olmayacaktır.

7. KVKK değişiklikleri 01.06.2024 tarihinde yürürlüğe girecekse de yurt dışına veri aktarımına ilişkin düzenlemeler için yürürlük tarihi ile 01.09.2024 arası geçiş süreci olarak belirlenmiştir. Bu ara dönemde 9. maddenin hem eski hem yeni hükümleri birlikte uygulanacaktır.

İlgili Resmi Gazete'ye buradan ve konu hakkındaki yazımıza buradan ulaşabilirsiniz.

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 2024-2028 senesine yönelik Stratejik Plan yayımlandı.

Kurum tarafından yayımlanan Stratejik Plan’da; Kurum’un misyon, vizyon, temel değerleri ile amaç ve hedefleri belirlenmiştir. Bu doğrultuda Kurum’un;

Misyonu: Anayasada öngörülen özel hayatın gizliliği ile temel hak ve özgürlüklerin korunması kapsamında, ülkemizde kişisel verilerin korunmasını sağlamak ve buna yönelik farkındalık oluşturarak bilinç düzeyini geliştirmek, aynı zamanda veri temelli ekonomide özel ve kamusal aktörlerin uluslararası rekabet kapasitelerini artırıcı bir ortam oluşturmak.

Vizyonu: Kişisel verilerin korunmasında etkin, buna ilişkin kültürün oluşturulmasında öncü, uygulamaları ile uluslararası alanda söz sahibi bir kurum olmak.

Temel Değerleri: Özel hayatın gizliliğini koruma, temel hak ve özgürlüklere saygı, tarafsızlık, bağımsızlık, güvenilirlik, hukuka ve etik ilkelere uygunluk, şeffaflık ve hesap verilebilirlik, hızlı, doğru ve objektif karar alma, işbirliği ve katılımcılık, ulusal ve uluslararası düzeyde hizmet verme.

Amaç ve Hedefleri: Kişisel verilerin hukuka uygun şekilde işlenmesini sağlamak, kişisel verilerin korunması konusunda toplumsal farkındalığı artırmak, Kurum’un uluslararası alanda öncü ve söz sahibi bir kuruluş olmasını sağlamak, kurumsal yapıyı geliştirmek ve kapasiteyi artırmak.

Tüm bunlara ek olarak AB Stratejik Plan içerisinde Kurum geçmiş faaliyetlerine ilişkin detaylı bilgilendirmeler ve gelecek faaliyetlere ilişkin tahmin ve hedefler açıklanmıştır. Stratejik Plan’ın bir yanıyla yayımlanmamış olan 2022-2023 Faaliyet Raporu’nu da içerdiği söylenebilecektir.

Daha detaylı bilgi için Kurum’un Stratejik Planı’na buradan ulaşabilirsiniz.

Dünyadaki Gelişmeler

Güncel Kararlar

Polonya Veri Koruma Otoritesi tarafından sigorta şirketi veri sorumlusuna, yanlış kişiye yanlış e-posta gönderilmesi sebebiyle 24.000 € para cezası verilmiştir.

Veri sorumlusu sigorta şirketi tarafından, yanlış kişiye ad-soyad, e-posta adresi, araç marka, model ve plaka numarası, poliçe numarası, hasar numarası ve tazminat tutarı vb. kişisel verilerin yer aldığı  başka bir kişiye gönderilmesi gereken e-posta iletilmesi üzerine oluşturulan şikayet hakkında Polonya Veri Koruma Otoritesince soruşturma başlatılmıştır. Polonya Veri Koruma Otoritesi, Avrupa Birliği Genel Veri Koruma Tüzüğü'nün (“GDPR”)'ın 83/2-a maddesine dayanarak, ihlalin uzun sürmesi, veri koruma düzenlemelerinin ihlalinin kasıtlı olarak tespit edilmesi gibi ağırlaştırıcı koşulları dikkate alarak idari para cezası vermeye karar vermiştir.

Bkz. https://www.edpb.europa.eu/news/national-news/2024/polish-sa-administrative-fine-eu-24000-failure-notify-personal-data-breach_en

Polonya Veri Koruma Otoritesi tarafından veri ihlalini bildirmeyen Krakow Bölge Mahkemesi aleyhine 2.000 € para cezası uygulanmasına karar verilmiştir.

Polonya Veri Koruma Otoritesi, Dışişleri Bakanlığından bir kişisel veri ihlali ihbarı almıştır. İhbar; posta şirketinin eksik yazışmaları sebebiyle alıcıya hasarlı teslim edilen posta hakkındadır. İhbar, Krakow Bölge Mahkemesine (yani veri sorumlusu olarak hareket eden postanın göndericisine) bildirilmiştir. Söz konusu davada gönderilen verilerin sorumlusu olmasına rağmen kişisel veri ihlalini Polonya Veri Koruma Otoritesine bildirmeyen Mahkeme hakkında 2.000 € para cezası uygulanmasına karar verilmiştir.

Bkz. https://www.edpb.europa.eu/news/national-news/2024/polish-sa-administrative-fine-failure-notify-personal-data-breach_en

Macar Veri Koruma Otoritesi tarafından, ilgili kişinin kişisel verilerin silinmesi talebinin sonuçlanması hakkında ilgili kişiye bildirimde bulunmayan veri sorumlusuna 13.244 € para cezası verilmiştir.

Macar Veri Koruma Otoritesi, ilgili kişice yapılmış kişisel verilerin silinmesi talebini sonuçlandıran veri sorumlusunun işlem sonucu hakkında ilgili kişiye bildirimde bulunmamasını incelemiştir. Yapılan incelemede; veri sorumlusunun, ilgili kişinin talebi doğrultusunda gerçekleştirilenişlem hakkındaki bilgilendirmeleri yapmamasıyla GDPR’ın genel ilkelerini düzenleyen 5. maddesi uyarınca göre şeffaf veri işleme ilkesini ihlal ettiğine karar vermiştir. Bu sebeple, veri sorumlusu aleyhine 13.244 € para cezası uygulanmasına karar vermiştir.

Bkz. https://www.edpb.europa.eu/news/news/2024/failure-airline-company-inform-data-subject-completion-erasure-request-failure_en

İzlanda Veri Koruma Otoritesi, veri sorumlusu Subway restoranı işletmecisi tarafından çalışanına yönelik gözetleme faaliyeti (surveillance) yürütülmesi sebebiyle veri sorumlusu işverene 10.000 € para cezası uygulanmasına karar vermiştir.

İzlanda Veri Koruma Otoritesi, İzlanda'daki Subway restoranı işletmecisi olan Stjarnan ehf.'ye çalışanına yönelik gözetleme faaliyeti yürütmesi nedeniyle 10.000 € idari para cezası uygulamıştır. İncelemede; Subway çalışanı tarafından şirketin iş süreçlerinin gözetlenmesinden şikayetçi olunmuş ve böylesi bir gözetlemeye yönelik hakları konusunda veri sorumlusu tarafından kendisine herhangi bir eğitim verilmediğinden şikayetçi olmuştur. Şikayete eşlik eden kanıtlar; CCTV kamera kayıtları olup yapılan incelemede gözetlemenin iş süreçlerini aştığı kanaati oluşmuştur.

Bkz. https://www.enforcementtracker.com/ETid-2257

Romanya Veri Koruma Otoritesi, veri ihlali sonucu veri sorumlusuna 5.000 € para cezası uygulanmasına karar vermiştir.

Veri ihlali, veri sorumlusunun karşı karşıya kaldığı bir siber saldırı sonucu meydana gelmiştir. Soruşturma sırasında, veri sorumlusunun, özellikle verilerin imhası, kaybı, değiştirilmesi, yetkisiz ifşa edilmesi veya yetkisiz erişimden kaynaklanan, işleme faaliyetinin oluşturduğu riske uygun bir güvenlik düzeyi sağlamak için yeterli teknik ve idari önlemleri almadığı tespit edilmiştir. Bu durum ise veri sorumlusu tarafından kullanılan BT altyapısına, önemli sayıda müşterinin belirli kişisel verilerine yetkisiz erişim yoluyla kötü niyetli üçünçü kişiler tarafından erişilerek gizliliğin ihlaline yol açmıştır. Romanya Veri Koruma otoritesi, ihlalin birkaç hafta boyunca da sürdüğünü göz önünde bulundurarak 5.000 € para cezası uygulanmasına karar vermiştir.

Bkz. https://www.enforcementtracker.com/ETid-2244

Kamuoyu Duyuruları ve Haberler

Avrupa Birliği Yapay Zeka Yasası (EU AI Act) (“AB Yapay Zeka Yasası”) kabul edildi.

Avrupa Parlamentosu tarafından, AB Yapay Zeka Yasası; 523 kabul, 461 ret ve 49 çekimser oy ile oy çoğunluyla 13 Mart 2024 tarihinde kabul edilmiştir. AB Yapay Zeka Yasası, AB Resmi Gazetesi’nde yayımlanmasından yirmi gün sonra yürürlüğe girecek olup, istisnalar hariç olmak üzere, tüm hükümleri yürürlüğe girmesinden 24 ay sonra tamamen geçerli olacaktır.

AB Yapay Zeka Yasası, yapay zeka sistemlerine yönelik risk temelli bir yaklaşım benimsediğinden, istisnalarının yürürlüğü için de bu yaklaşım benimsenmiştir. Paydaşların, yapay zeka sisteminin türüne bağlı olarak AB Yapay Zeka Yasası hükümlerine uymaları için 6 ila 36 ay süreleri bulunmaktadır. İstisnalar aşağıdaki şekilde belirlenmiştir:

- Kabul Edilemez Risk Oluşturan YZ Sistemlerinin Yasaklanması: 6 ay

- Uygulama Kuralları Hükümleri: 9 ay

- Genel Amaçlı YZ Sistemleri Hükümleri: 12 ay

- Yüksek Riskli YZ Sistemleri Hükümleri: 36 ay

AB Yapay Zeka Yasası, genel olarak risk temelli bir yaklaşım benimseyerek yapay zeka sistemlerini dörde ayırmaktadır (Burada dikkat çekmek isteriz ki, YZ alanındaki mevcut düzenlemeler yapay zeka demektense yapay zeka sistemleri ifadesini kullanmaktadır. Bunun sebebi, yapay zekanın tanımının yapay zeka sistemlerinin tanımının yapılmasından çok daha zor olmasıdır.). Bunlar; minimal risk, limited risk, high risk ve unacceptable risk olarak sayılmıştır.

Tüm bunlara ek olarak AB Yapay Zeka Yasası içerisinde “general-purpose AI” ifadesi yer almaktadır. Bu ifade ile; görüntü/konuşma, tanıma, ses/video oluşturma, model algılama, soru yanıtlama, çeviri vb. gibi genel olarak uygulanabilir işlevleri gerçekleştirebilen ve birden fazla amaç için kullanılabilen bir yapay zeka sistemi anlamına ifade edilmiştir. Bu sistemlerin yüksek riskli kategoride değerlendirilmesi halinde bazı özel önlemler sıralanmıştır.

Ayrıca; kolluk kuvvetleri tarafından biyometrik tanımlama sistemlerinin kullanımına ilişkin sınırlamalar getirilmiştir. Ek olarak; kullanıcıları manipüle etmek veya istismar etmek amacıyla kullanılan sosyal puanlama ve yapay zekaya ilişkin yasaklar getirilerek, tüketicilerin şikayet ve anlamlı açıklamalar (meaningful explanations) hakları tanımlanmıştır.

Meaningful Explanation Rights: Kullanıcının sistem bünyesinde yapay zekanın karar vermeye ne kadar etkisi olduğuna dair açık ve net bilgi alma hakkı olarak tanımlanabilir.

Bkz. https://www.europarl.europa.eu/news/en/press-room/20240308IPR19015/artificial-intelligence-act-meps-adopt-landmark-law 

Yapay Zeka ve İnsan Hakları Konvansiyonu (AI and Human Rights Convention) çerçeve taslak metin kabul edildi.

CAI tarafından; Yapay Zeka ve İnsan Hakları Konvansiyonu çerçeve taslağı, Strazburg'daki 10. CAI toplantısında 14 Mart 2024 tarihinde kabul edilmiştir. Çerçeve taslağın, Mayıs 2024’te yürürlüğe girmesi beklenmektedir.

Konvansiyon, Avrupa Konseyi’nin insan hakları, demokrasi ve hukukun üstünlüğü standartlarına bağlı kalarak YZ sistemlerinin tasarlanması, geliştirilmesi, kullanılması ve hizmetten alınmasına ilişkindir. CAI’nin bir sonraki adımının; İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Etki Değerlendirmesi (“HUDERIA”) taslağı olması bekleniyor. HUDERIA’nın ise aşağıdaki soruları yanıtlaması beklenmektedir:

- İncelenen YZ sistemine ilişkin belirli sayıda spsifik sosyoteknik soru,

- Avrupa Konseyi standartlarına uygun olarak insan haklarına, demokrasiye ve hukukun üstünlüğüne özgü hususları irdeleyen sorular.

HUDERIA sayesinde etki analizinin kapsamlı bir şekilde yapay zeka sistemlerine entegre edilmesi bakımından Konvansiyon önem taşımaktadır. Ayrıca; Konvansiyon’un uluslararası olarak yapay zeka alanında yasal olarak bağlayıcı ilk anlaşma olması beklenmektedir. Bu bakımdan hükümleri, daha çok çerçeve sözleşme niteliğinde olup AB Yapay Zeka Yasası kadar detaylı hükümler yer almamaktadır. Buradaki temel amaç ise olabildiğince kapsayıcı bir Konvansiyon düzenleyerek daha çok ülkenin taraf olmasını sağlamaktadır.

Bkz. https://ennhri.org/news-and-blog/draft-convention-on-ai-human-rights-democracy-and-rule-of-law-finalised-ennhri-raises-concerns/

Avrupa Veri Koruma Denetçisi (“EDPS”), Avrupa Komisyonu’nu Microsoft 365 kullanmaması yönünde talimatlandırdı.

EDPS, Avrupa Komisyonu tarafından Microsoft 365 kullanılmasını AB’nin GDPR’a uyumlu olan 2018/1725 sayılı Regülasyonu’na aykırı bulmuştur. Avrupa Komisyonu’nun Microsoft 365’in bulut bilişimini kullanarak AB ve Avrupa Ekonomik Alanı dışına veri aktardığı, ancak bu verileri aktarırken yeterli güvenceleri sağlamadığı ve yeterli önlemleri almadığı vurgulanmıştır.

Buna ek olarak; Microsoft 365 ile Avrupa Komisyonu arasındaki sözleşmede; aktarımı gerçekleşen kişisel veri kategorilerinin, bu verilerin işlenme amaç ve hukuki sebeplerinin yeteri kadar açıklanmadığı belirtilmiştir. Tüm bu sebeplerle; EDPS tarafından Avrupa Komisyonu’na 01.12.2024 tarihi itibarıyla Microsoft 365’e gerçekleşen aktarımı durdurması yönünde talimat verilmiştir.

Bkz. https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en

İngiliz Veri Koruma Otoritesi (“ICO”) tarafından kuruluşlara uygulanacak cezalar hakkında rehber yayımlandı.

ICO tarafından ceza türleri ve para cezalarınınhesaplanmasını açıklayan yeni bir rehber yayımlandı. Rehber, ICO’nun cezalandırma gücü hakkında kuruluşlara daha şeffaf bir uygulama sağlamaktadır.

Rehber öncelikle; GDPR ile Birleşik Krallık GDPR kapsamında hangi tür cezaların kuruluşlara uygulanabileceğini incelemiştir. Daha sonrasında, cezaların türü ve miktarına değinmiştir. Bunu takiben, GDPR ve Birleşik Krallık GDPR kapsamında verilebilecek en yüksek cezalardan bahsedilerek veri sorumlusu ve veri işleyenlerin kişisel veri işleme süreçleri hakkında öngörülebilecek cezalara yönelik şeffaf bir uygulama amaçlanmıştır.

Bkz. https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/03/ico-publishes-new-fining-guidance/

Fransız Veri Koruma Otoritesi (“CNIL”) tarafından kişisel verilerin güvenliğine ilişkin rehberin güncellenmiş versiyonunu yayımlandı.

Rehber kapsamında; veri güvenliğinin nasıl sağlanacağı detaylı olarak incelenmiştir. Donanım, yazılım, bulut bilişim, fiziksel ve elektronik iletişim, fiziksel dokümanlar vb. bakımından veri güvenliğine ilişkin önlemler detaylı olarak açıklanmıştır. Tüm bu sistemlere yönelik periyodik olarak önlemlerin önemi vurgulanarak hangi önlemlerin alınması gerektiği incelenmiştir. Ayrıca kullanıcılara yönelik, kişisel olarak alabilecekleri önlemler de işlenmiştir. Tüm bu güvenlik önlemleri incelendikten sonra ise olası bir ihlale karşın nasıl hazırlık yapılabileceği anlatılmıştır. Rehberin en son bölümünde ise veri sorumlusu ve veri işleyenlere yönelik bir veri güvenliği check-listi bulunmaktadır.

Bkz. https://www.cnil.fr/en/practice-guide-security-personal-data-2024-edition

İsveçli gazetecilerin AB veri koruma yasalarından muaf tutulmaları için yasal koruma talep edilmesine noyb tarafından İsveç Veri Koruma Otoritesi’ne şikayet başvurusunda bulunulmuştur.

İsveç lokal mevzuatı uyarınca, herkes medya lisansı alarak GDPR’dan muaf olabilmektedir. noyb tarafından İsveç’in bu lisansı herkese çok kolay bir şekilde vermesi ise eleştiri konusu olmuştur. noyb, böylesi bir uygulamanın insanların mahremiyet hakkını ihlal ederek en hassas verilerinin internet ortamında serbestçe dolaşmasına sebebiyet verdiğini belirtmiştir.

Bu doğrultuda; noyb, veri komisyoncusu olarak geçen MrKoll şirketinin AB’nin katı veri koruma yasalarından muaf olmasını sağlayacak medya lisansı talebine karşı şikayet başvurusunda bulunmuştur. Noyb’un konuya bakış açısı ve şikayet nedeni “MrKoll gibi veri komisyoncularının iş modelinin gazetecilikle hiçbir ilgisi yok. Tam tersine şirket, kişisel verilerini ilgilenen herkese çevrimiçi olarak satışa sunarak insanları riske atıyor. İsveç yetkililerinin, başlangıçta gazetecileri korumayı amaçlayan yasanın bu şekilde suiistimal edilmesine nihayet son vermesi gerekiyor.” olarak ifade edilmiştir.

Bkz. https://noyb.eu/en/swedish-data-brokers-claim-journalists-legal-protection-evade-eu-law