Sharing the Photos Taken During Surgery

The Personal Data Protection Board (“the Board”) evaluated the complaint application about sharing the photos taken during surgery of the data subject and published on the social media account by a doctor who works in the data controller hospital in its decision dated 29.06.2022 and numbered 2022/630.

The complaint subject to the decision is that the data subject's personal data was processed unlawfully due to, without explicit consent, photos taken during surgery, shared on social media accounts, and kept for 2 years by a doctor who works in the data controller hospital.

The Board made the following explanations regarding the complaint;

  • The photos that are the subject of the complaint are evaluated as personal data since the data subject’s facial parts such as eyebrows, mustaches, etc. that make the person identifiable can are clearly included and not anonymized.
  • In terms of the data controller's claims that explicit consent was obtained from the data subject, it has been observed that the data subject has given explicit consent for the data controller hospital, but the said photos were processed by a doctor who works in the hospital. The explicit consent given to the hospital does not provide a legal basis for the use of photos by the doctor, therefore the personal data of the data subject has been processed unlawfully.
  • Sharing the photos of the data subject by a doctor who works in the hospital on social media indicates that the necessary technical and administrative measures were not taken by the data controller hospital taking into account that the data controller hospital has the knowledge of this situation.
  • Article 17 of the Law on the Protection of Personal Data No. 6698 (“DPL”) regulates that the provisions of Articles 135 to 140 of the Turkish Penal Code shall be applied for crimes related to personal data. In the presence of such a situation, the data subject can apply to the relevant judicial remedy in such a case.

In this regard, the Board adopted the following decision;

  • It is understood that the data subject has given explicit consent to the data controller hospital, and there is no explicit consent regarding sharing the images taken by the doctor, and the data controller hospital has information that the photos were shared on social media account by the doctor. Since the data controller does not take adequate technical and administrative measures to ensure the appropriate level of security in order to prevent the unlawful processing of personal data, prevent unlawful access to personal data, and ensure the protection of personal data in terms of sharing photos of the data subject on social media accounts an administrative fine of TRY 100.000 (approx. EUR 4.657) was imposed on the data controller.
  • The data controller has been informed that it is possible to apply to the judiciary regarding the data subject’s proposal regarding the proposal of the data subject not to file a complaint with the Board if financial compensation is paid to them.
  • The data subject has been informed regarding applying for financial compensation by applying to the judiciary, and applying to the judiciary within the scope of the Turkish Penal Code.

Authors: Burak Özdağıstanli, Bensu Özdemir, Ebru Gümüş

by Ebru Gümüş

Sending Order Information to Erroneous Email Address

The Personal Data Protection Board (“the Board”) evaluated the complaint application regarding sending the order information of a third party from the e-commerce website which is the data controller to the data subject in its decision dated 03.08.2022 and numbered 2022/774.

The complaint that is the subject of the decision is that the order information including the identity, address, and contact information of a third-party is sent to the e-mail address of the data subject from an e-commerce website and that order details are accessible via a link accessed in the e-mail. In addition, the data subject stated in the complaint application that he/she received promotional e-mails and SMS from the data controller even though the data controller stated that his/her e-mail address was deleted from the order in question and that he/she would no longer be notified, accordingly data subject requested to be taken of necessary action within the scope of the Law on the Protection of Personal Data w. no. 6698 (“DPL”).

On the e-commerce website that is the subject of the complaint, there is an option to create a membership, and besides individuals can place an order by only giving their e-mail address and other information about the order without creating a membership.

In the explanations made by the data controller, it was stated that there is no membership account for the e-mail address used in the order subject to the complaint. The mentioned order was placed by a guest customer login without creating a membership account, by another user inadvertently notifying the e-mail address of the data subject due to name similarity, and this third party gave explicit consent for receiving SMS and e-mail.

The Board made the following explanations regarding the complaint;

  • Regarding the claim that the e-mail address, which is the personal data of the data subject, has been processed in a manner contrary to the DPL;

Although it is stated by the data controller that the e-mail address of the data subject was entered by the third party inadvertently while placing an order, it is possible that erroneous statements may be made in the information entries made manually by the individuals. Within the scope of the obligation to take administrative and technical measures to prevent the unlawful processing of personal data defined in Article 12 of the DPL, the data controller is obliged to take necessary administrative and technical measures in order to prevent the unlawful processing of personal data belonging to third parties due to these incorrect information entries since it is necessary to ensure that the contact information received from individuals is correct.

Although the order was not placed by the data subject, the data controller processed personal data by sending an informative e-mail to the data subject's e-mail address without relying on any of the processing conditions. In this context, since there is no confirmation mechanism in the transaction in question, all shopping transactions made with the guests' login to the e-commerce site carry the risk of a data breach.

  • Regarding the statements of the data controller that it provides an opportunity to reject receiving commercial electronic messages at any time, and that the addressee of such complaints is the provincial and district directorates of the Ministry of Commerce:

It is necessary to evaluate within the scope of the DPL whether the processing activity is based on legal compliance since the phone and e-mail information is also the contact information in the nature of personal data, any transaction on personal data through the means specified in the DPL is a processing activity.

In this regard, the Board adopted the following decisions;

  • The data controller has processed the personal data without relying on any of the processing conditions in Article 5 of the DPL by sending an e-mail regarding the order to the data subject who is an unrelated third party to the sales contract without there is not any confirmation mechanism. In this respect, it has been decided that the data controller has not taken the necessary technical and administrative measures regulated in Article 12 of the DPL in order to prevent the unlawful processing of personal data, and so an administrative fine of TRY 120.000 (approx. EUR 5.587) was imposed on the data controller.

Authors: Burak Özdağıstanli, Bensu Özdemir, Ebru Gümüş

by Ebru Gümüş

Failure to Provide the Privacy Policy and Explicit Consent Wording for Cookies

The Personal Data Protection Board (“the Board”) evaluated the complaint application regarding the failure of the data controller to provide the privacy policy and explicit consent wording for cookies on the website of a gaming platform in its decision dated 23.12.2022 and numbered 2022/1358.

The complaint subject to the decision is that when accessing the website of a gaming platform, users are not informed about the data processing made through cookies, explicit consent is not obtained for non-essential cookies, and also their identity and contact information is requested from the users who are members of the website, but privacy policy and explicit consent texts are not provided.

The Board made the following explanations regarding the complaint;

  • Cookies that are necessary for the proper functioning of a website are defined as essential cookies and can be used as exception to the explicit consent requirement in Article 5 of the Law on the Protection of Personal Data No. 6698 (“DPL”). However, the cookies used for advertising, marketing, and performance purposes are subject to the explicit consent of the data subject. If there is no processing condition other than explicit consent regarding the cookies other than essential cookies such as functional cookies, performance-analytical cookies, and advertising/marketing cookies, the data controller must obtain explicit consent from data subjects according to the “opt-in” mechanism that envisages their voluntary active action at the time of log-in, and preventing the cookies being active in default.
  • In this context, it is seen that there are many cookies on the website, and there is no privacy policy. In addition, it has been determined that the data controller does not obtain explicit consent for cookies that are non-essential and track user movements for purposes such as advertising or statistics.
  • The data controller must fulfill the obligation to inform data subjects during the first visit of the users to the website regarding the personal data collected via cookies in accordance with Article 10 of the DPL. On the other hand, it has been observed that the privacy policy on the website does not contain the mandatory elements, and the processed personal data is transferred abroad.

In this regard, the Board adopted the following decisions;

  • The data controller processes personal data through non-essential cookies for the purpose of advertising and marketing without relying on any legal basis on the relevant website. Since this situation constitutes a violation of the obligations in Article 12 of the DPL, an administrative fine of TRY 300.000 (approx. EUR 14.036) was imposed on the data controller.
  • In terms of personal data processed with cookies on the website, it has been decided to instruct the data controller to fulfill the obligation to inform in accordance with the relevant provisions of Article 10 of the DPL and the Communique on Principles and Procedures to be Followed in Fulfillment of the Obligation to Inform.
  • It is seen that the privacy policy on the website is presented to the users during sign-up, it has been decided to instruct the data controller to complete the deficiencies in the privacy policy.

Authors: Burak Özdağıstanli, Bensu Özdemir, Ebru Gümüş

by Ebru Gümüş

Procedures and Principles About Social Network Provider

The new decision of the Information Technologies and Communication Authority (“BTK”) on the “Procedures and Principles About Social Network Provider” (“Procedures and Principles”) was published on the Official Gazette and entered into force on April 1, 2023.

The procedures and principles, which were first regulated by BTK in 2020 and included the responsibilities and obligations of social network providers are updated in line with the additional article 4 of the Law on the Regulation of Broadcasts via Internet and Prevention of Crimes Committed through Such Broadcasts with no. 5651 (“Law”).

The purpose of the Procedures and Principles is regulated as determining the obligations and the procedures and principles regarding the implementation of these obligations of the social network provider which is defined as “natural persons or legal entities that provide opportunity for users to create, view or share content such as text, images, sounds, location on the internet for the purpose of social interaction” under the Law. In addition, it is clearly stated that the content for social interaction purposes only in a certain part of the broadcast on the internet or platforms such as e-commerce sites where the content for social interaction is offered as a secondary and ancillary service is out of the scope.

Along with the Procedures and Principles, detailed regulations have been made regarding the following obligations of social network providers regulated in the Law:

Social network providers with more than one million daily access from Turkey:

  • Obligation to appoint a representative in Turkey
  • Responding to applications regarding content
  • Reporting to BTK statistical and categorical information on implementation of decisions to remove content and/or block access, and applications made by individuals
  • Creating an advertisement library
  • Keeping the data of users in Turkey in the country

Regardless of the number of daily accesses, all social network providers:

  • Informing the judicial authorities about the content subject to certain crimes
  • Providing segregated services for children
  • Protecting user rights
  • Establishing an effective application mechanism in order to remove title tags and featured content with warning method
  • Sharing information with law enforcement about contents that endanger people's life and property safety
  • Submitting any type of requested information and document to BTK
  • Creating a crisis plan for emergency situations affecting public safety and public health

The sanctions that will be applied to social network provider in the event of failing to fulfill the above-mentioned obligations are also regulated in detail with the Procedures and Principles. While the said sanctions vary according to the breached obligation and the repetition of the breach, the amounts of administrative fines to be applied vary between TRY 10.000.000 and TRY 30.000.000 (Approx. EUR 478.000 and 1.435.000). In addition, for some violations, prohibiting to give advertisement to the social network provider by taxpayers in Turkey and limiting social network bandwidth may be imposed.

Finally, it should be noted that if certain obligations set out in the Procedures and Principles are not fulfilled, including obligations related to the storage of data in the country, protection of user rights and the provision of segregated services specific to children; an administrative fine up to 3% of the social network provider's global turnover for the previous calendar year may be applied by BTK.

As a result, the Procedures and Principles contain details regarding the implementation of the regulations on social network providers that was stipulated under the Law. Within this scope, it is important for social network providers to comply with the obligations regulated under the Procedures and Principles, in order not to face administrative sanctions.

 

Authors: Hatice Ekici Tağa, Sümeyye Uçar, Ebru Gümüş

by Ebru Gümüş

Sosyal Ağ Sağlayıcı Hakkında Usul ve Esaslar

 

Bilgi Teknolojileri ve İletişim Kurumu’nun (“BTK”) “Sosyal Ağ Sağlayıcı Hakkında Usul ve Esaslar”ına (“Usul ve Esaslar”) ilişkin yeni kararı, 1 Nisan 2023 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

İlk olarak 2020 yılında BTK tarafından düzenlenmiş olan ve sosyal ağ sağlayıcılarına ilişkin sorumlulukları ve yükümlülükleri içeren usul ve esaslar, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’da (“Kanun”) yer alan ek madde 4 doğrultusunda güncellenmiştir.

Usul ve Esaslar’ın amacının, Kanun’da “sosyal etkileşim amacıyla kullanıcıların internet ortamında metin, görüntü, ses, konum gibi içerikleri oluşturmalarına, görüntülemelerine veya paylaşmalarına imkân sağlayan gerçek veya tüzel kişiler” olarak tanımlanan sosyal ağ sağlayıcının yükümlülükleri ile bu yükümlülüklerin uygulanmasına ilişkin usul ve esasları belirlemek olduğu düzenlenmiştir. Ayrıca, internet ortamında yapılan yayının sadece belirli bir kısmında sosyal etkileşim amaçlı içeriğe yer verilmesinin veya sosyal etkileşim amaçlı içeriğin ikincil ve yan hizmet olarak sunulduğu e-ticaret siteleri gibi platformların kapsam dışı olduğu açıkça belirtilmiştir.

Usul ve Esaslar’la birlikte, Kanun’da düzenlenen sosyal ağ sağlayıcıların aşağıdaki yükümlülüklerine ilişkin ayrıntılı düzenlemeler yapılmıştır:

Türkiye’den günlük erişimi bir milyondan fazla olan sosyal ağ sağlayıcılarının:

  • Türkiye’de temsilci belirleme yükümlülüğü
  • İçeriklere yönelik olarak yapılan başvuruların cevaplandırılması
  • İçeriğin çıkarılması ve/veya erişimin engellenmesi kararlarının uygulanması ve kişiler tarafından yapılan başvurulara ilişkin bilgilerin istatiksel ve kategorik olarak BTK’ya raporlanması
  • Reklam kütüphanesi oluşturulması
  • Türkiye’deki kullanıcılara ait verilerin yurt içinde tutulması

 

Günlük erişim sayısı fark etmeksizin bütün sosyal ağ sağlayıcılarının:

  • Belirli suçlara konu içeriklere ilişkin adli mercilere bilgi verilmesi
  • Çocuklara özgü ayrıştırılmış hizmet sunulması
  • Kullanıcı haklarının korunması
  • Başlık etiketleri ve öne çıkarılan içeriklerin uyarı yöntemiyle kaldırılması için etkin bir başvuru mekanizması kurulması
  • Kişilerin can ve mal güvenliğini tehlikeye sokan içeriklere ilişkin bilgilerin yetkili kolluk birimleriyle paylaşılması
  • Talep edilen her türlü bilgi ve belgenin BTK’ya verilmesi
  • Kamu güvenliği ve kamu sağlığını etkileyen olağanüstü durumlara ilişkin kriz planı oluşturulması

Yukarıda bahsedilen yükümlülüklerin yerine getirilmemesi durumunda sosyal ağ sağlayıcıya uygulanacak yaptırımlar da Usul ve Esaslar ile detaylı olarak düzenlenmiştir. Söz konusu yaptırımlar ihlal edilen yükümlülüğe ve yükümlülük ihlallerinin tekrarına göre değişmekle birlikte, uygulanacak idari para cezası tutarları 10.000.000 Türk lirası ile 30.000.000 Türk lirası arasında farklılık göstermektedir.  Ayrıca bazı ihlallerde Türkiye’deki vergi mükellefleri tarafından sosyal ağ sağlayıcıya reklam verilmesinin yasaklanması ve sosyal ağ bant genişliğinin daraltılması yaptırımları da uygulanabilmektedir.

Son olarak önemle belirtmek gerekir ki, verilerin yurt içinde barındırılması, kullanıcı haklarının korunması ve çocuklara özgü ayrıştırılmış hizmet sunulmasına ilişkin yükümlülükler de dahil olmak üzere Usul ve Esaslar’da belirlenen birtakım yükümlülüklerin yerine getirilmemesi durumunda ise, BTK tarafından, sosyal ağ sağlayıcının bir önceki takvim yılı küresel cirosunun %3’üne kadar idari para cezası uygulanmasına karar verilebileceği düzenlenmiştir.

Sonuç olarak, Usul ve Esaslar, sosyal ağ sağlayıcılara ilişkin Kanun’da hâlihazırda yer alan düzenlemelerin uygulanmasına yönelik detayları içermektedir. Bu kapsamda sosyal ağ sağlayıcıların idari yaptırımlarla karşılaşmamak adına Usul ve Esaslar uyarınca düzenlenen yükümlülüklere uyması önem arz etmektedir.

 

Yazarlar: Hatice Ekici Tağa, Sümeyye Uçar, Ebru Gümüş

 

by Ebru Gümüş

Liabilities Regarding Payment and Electronic Money Institutions Are Extended

With the Regulation on Payment Services and Electronic Money Issuance and Payment Service Providers (“Regulation”), and the Communiqué on Information Systems of Payment and Electronic Money Institutions and Data Sharing Services in the Field of Payment Services Providers (“Communiqué”) published in the Official Gazette dated December 1, 2021, and numbered 31676, payment institutions and electronic money institutions are defined and the obligations regarding these institutions are regulated.

With the Regulation on Amending the Regulation on Payment Services and Electronic Money Issuance and Payment Service Providers, and Amending the Communiqué on Information Systems of Payment and Electronic Money Institutions and Data Sharing Services in the Field of Payment Services Providers Communiqué published in the Official Gazette dated February 28, 2023, and numbered 32118, the transition periods in some provisions regarding the compliance obligations in the temporary first articles of the Regulation and the Communiqué have been extended from  February 28, 2023, to April 30, 2023 (“Extension Date”).

As a result of the amendments, the extended liabilities of payment institutions and electronic money institutions are as follows:

Amended Regulation:

  • Institutions operating as of December 1, 2021, are obliged to comply with provisions that were not previously included.
  • Services made with prepaid tools that can only be used in the issuing institution's store network as of December 1, 2021, in the purchase of a certain group of goods or services, or only in a certain service network as a result of an agreement and legal entities that provide these services are obliged to comply with the provisions of the Regulation (excluding the provisions regarding the protection of payment funds and the protection of funds collected against electronic money) until the Extension Date.
  • Payment service providers, which hold a payment account as of December 1, 2021, and are among the top ten participants in terms of the total number of payment transactions carried out in Bank Payment Systems in 2020, fulfill the obligations related to the necessary infrastructure to other authorized payment service providers requesting to be able to provide payment services by connecting to the Bankalararası Kart Merkezi A.Ş. until the Extension Date.
  • Data sharing services that technical requirements of which are determined by the Central Bank of the Republic of Turkey (“Bank”) within the scope of the Regulation, may continue to be provided by using non-standard services until the Extension Date.
  • The provisions of this Regulation regarding obtaining an operating permit, equity and collateral liability, protection of payment funds, and protection of funds collected in return for electronic money shall be applied to whom applied for an operating permit before December 1, 2021. Legal entities who are granted permission to operate according to this provision are obliged to comply with the provisions of the Regulation that are not applied, and the provisions contained in the regulations are to be made by the Bank until the Extension Date at the latest.
  • Legal entities that provide services made with prepaid tools that can be used only in the own store network of the issuing institution, only in the purchase of a certain group of goods or services, or only in a certain service network as a result of an agreement, as of December 1, 2021, who granted permission to operate according to the Regulation are obliged to comply with the provisions of which they are exempt from the Regulation, and the provisions included in the regulations to be made by the Bank, until the Extension Date at the latest.

Amended Communiqué:

  • Institutions operating as of December 1, 2021, are obliged to comply with provisions that were not previously included.
  • Payment service providers that hold payment accounts as of December 1, 2021, and are among the top ten participants according to the total number of account payment transactions carried out in Bank Payment Systems in 2020, fulfill the obligations related to the necessary infrastructure to other authorized payment service providers requesting to be able to provide payment services by connecting to Account Service Provider (HHS) to BKM API Gateway until the Extension Period.
  • Data sharing services, the technical requirements of which are determined by the Bank, may continue to be provided by using non-standard services until the Extension Period.

Institutions that have not yet fulfilled the obligations specified in the Regulation and Communiqué and detailed above are expected to fulfill their obligations until April 30, 2023.

However, it should be noted that there is a possibility that the deadline for the above-mentioned liabilities may be extended by the Central Bank of the Republic of Turkey.

Authors: Burak Özdağıstanli, Ebru Gümüş

by Ebru Gümüş

Ödeme ve Elektronik Para Kululuşlarına İlişkin Yükümlülükler Ertelendi

1 Aralık 2021 tarihli 31676 sayılı Resmi Gazete’de yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik (“Yönetmelik”) ve Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ (“Tebliğ”) ile ödeme kuruluşları ve elektronik para kuruluşları tanımlanmış ve bu kuruluşlara ilişkin yükümlülükler düzenlenmişti.

28 Şubat 2023 tarihli 32118 sayılı Resmi Gazete’de yayımlanan Ödeme Hizmetleri Ve Elektronik Para İhracı İle Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik ve Ödeme Ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğde Değişiklik Yapılmasına Dair Tebliğ ile Yönetmelik’in ve Tebliğ’in geçici birinci maddelerinde yer alan uyum yükümlülüklerine ilişkin bazı hükümlerde geçiş süreleri 28 Şubat 2023 tarihinden 30 Nisan 2023 tarihine (“Uzatma Tarihi”) ertelenmiştir.

Değişiklikler sonucunda ödeme kuruluşları ve elektronik para kuruluşlarının süresi ertelenen yükümlülükleri aşağıdaki gibidir:

Değiştirilen Yönetmelik:

  • 1 Aralık 2021 tarihi itibarıyla faaliyette bulunan kuruluşlar, daha önce yer almayan hükümlere uyumlu hale gelmekle yükümlüdür.
  • 1 Aralık 2021 tarihi itibarıyla kullanımda olan elektronik parayı ihraç eden kuruluşun sadece kendi mağaza ağında, sadece belirli bir mal veya hizmet grubunun satın alınmasında veya yapılan bir anlaşma sonucunda sadece belirli bir hizmet ağında kullanılabilen ön ödemeli araçlar ile yapılan hizmetler ve bu hizmetleri sunan tüzel kişiler, Yönetmelik’te yer alan hükümlere (ödeme fonlarının korunması ve elektronik para karşılığı toplanan fonların korunmasına ilişkin hükümler hariç) Uzatma Tarihine kadar uyumlu hale gelmekle yükümlüdür.
  • 1 Aralık 2021 tarihi itibarıyla nezdinde ödeme hesabı bulunduran ve Banka Ödeme Sistemlerinde 2020 yılı içerisinde gerçekleştirilen hesaba ödeme işlemleri açısından, toplam adedine göre ilk on katılımcı arasında yer alan ödeme hizmeti sağlayıcıları, Yönetmelik’e göre yerine getirmesi gereken Bankalararası Kart Merkezi A.Ş.’ne bağlanarak ödeme hizmetleri sunabilmek için talepte bulunan diğer yetkili ödeme hizmet sağlayıcılarına gerekli altyapının sağlanmasına ilişkin yükümlülükleri Uzatma Tarihine kadar yerine getirir.
  • Yönetmelik kapsamında Türkiye Cumhuriyet Merkez Bankası Anonim Şirketi (“Banka”) tarafından teknik gereklilikleri belirlenmiş veri paylaşım servisleri hizmetleri, Uzatma Tarihine kadar standart olmayan servisler kullanılarak da verilmeye devam edilebilir.
  • 1 Aralık 2021 tarihinden önce faaliyet izni başvurusunda bulunanlar hakkında bu Yönetmeliğin faaliyet izni alınması, özkaynak ve teminat yükümlülüğüne ilişkin hükümleri ve ödeme fonlarının korunması ve elektronik para karşılığı toplanan fonların korunmasına ilişkin hükümleri uygulanır. Bu hükme göre faaliyet izni verilen kişiler, Yönetmelik’in uygulanmayan hükümleri ile Banka tarafından yapılacak düzenlemelerde yer alan hükümlere en geç Uzatma Tarihine kadar uyumlu duruma gelmekle yükümlüdür.
  • 1 Aralık 2021 tarihi itibarıyla kullanımda olan elektronik parayı ihraç eden kuruluşun sadece kendi mağaza ağında, sadece belirli bir mal veya hizmet grubunun satın alınmasında veya yapılan bir anlaşma sonucunda sadece belirli bir hizmet ağında kullanılabilen ön ödemeli araçlar ile yapılan hizmetleri sunan tüzel kişilerden Yönetmelik’e göre faaliyet izni verilen kişiler, Yönetmelik’ten muaf tutuldukları hükümleri ile Banka tarafından yapılacak düzenlemelerde yer alan hükümlere en geç Uzatma Tarihine kadar uyumlu duruma gelmekle yükümlüdür.

Değiştirilen Tebliğ:

  • 1 Aralık 2021 itibarıyla faaliyette bulunan kuruluşlar, daha önce yer almayan hükümlere uyumlu hale gelmekle yükümlüdür.
  • Bu Tebliğin yürürlüğe girdiği tarih itibarıyla nezdinde ödeme hesabı bulunduran ve Banka Ödeme Sistemlerinde 2020 yılı içerisinde gerçekleştirilen hesaba ödeme işlemleri açısından, toplam adedine göre ilk on katılımcı arasında yer alan ödeme hizmeti sağlayıcıları, Hesap Hizmet Sağlayıcısı’nın (HHS) BKM API Geçidi’ne bağlanması ve diğer yetkili ödeme hizmeti sağlayıcılarına gerekli altyapıyı sağlama yükümlülüklerini uzatma süresine kadar yerine getirir.
  • Banka tarafından teknik gereklilikleri belirlenmiş veri paylaşım servisleri hizmetleri, uzatma süresine kadar standart olmayan servisler kullanılarak da verilmeye devam edilebilir.

Henüz Yönetmelik ve Tebliğ’de yer alan ve yukarıda detaylarına yer verilen yükümlülükleri yerine getirmemiş olan kurumların, 30 Nisan 2023 tarihine kadar yükümlülüklerini yerine getirmeleri beklenmektedir.

Ancak belirtmek gerekir ki söz konusu yükümlülüklere ilişkin son tarihin, Türkiye Cumhuriyet Merkez Bankası Anonim Şirketi tarafından uzatılması ihtimali bulunmaktadır.

Yazarlar: Burak Özdağıstanli, Ebru Gümüş

by Ebru Gümüş

Administrative Fines to be Imposed in 2023 under the Personal Data Protection Law

Administrative fines to be imposed in case of violation of the Law on Protection of Personal Data No. 6698 (“DPL”) are regulated in Article 18, titled “Misdemeanors”, of the DPL. Within the scope of this article, those who do not fulfill the following obligations may be subject to administrative fines ordered by the Personal Data Protection Board (“Board”):

  • the obligation to inform provided for in Article 10,
  • the obligations related to data security provided for in Article 12,
  • the decisions issued by the Board pursuant to Article 15,
  • act contrary to the obligations for registry with the Data Controllers’ Registry and for notification provided for in Article 16.

Although the amounts of administrative fines that would be imposed to each case is subject to the discretion of the Board, the lower and upper limits are determined by the DPL and these amounts are updated with the re-valuation rate every year.

On 17.01.2023, an announcement regarding the amounts of administrative fines’ lower and upper limits that will be imposed for 2023 was published by the Personal Data Protection Authority in line with the re-valuation rate. You can find the table regarding the amounts of administrative fines in the announcement below.

 

Misdemeanors

TRY

 USD

EUR

min.

 max. min. max. min.

max.
Not fulfilling the obligation to inform provided for in Article 10

29.852

 597.191  

1.588,24

(approx.)

  

31.772,92

(approx.)

  

1.469,76

(approx.)

29.402,70

(approx.)
Not fulfilling the obligations related to data security provided for in Article 12

89.571

 5.971.989  

4.765,53

(approx.)

  

317.733,40

(approx.)

  

4.410,03

(approx.)

294.030,88

(approx.)
Not fulfilling the decisions issued by the Board pursuant to Article 15

149.285

 5.971.989  

7.942,55

(approx.)

  

317.733,40

(approx.)

  

7.350,05

(approx.)

294.030,88

(approx.)
Acting contrary to the obligations for registry with the Data Controllers’ Registry and for notification provided for in Article 16

119.428

 5.971.989  

6.354,04

(approx.)

  

317.733,40

(approx.)

  

5.880,04

(approx.)

294.030,88

(approx.)

For the full text of the announcement: https://www.kvkk.gov.tr/Icerik/7530/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanunu-Kapsaminda-Idari-Para-Cezasi-Tutarlari

Authors: Burak Özdağıstanli, Ebru Gümüş

by Ebru Gümüş

Fikri ve Sınai Mülkiyet Haklarının İhlalinde E-Ticaret Platformlarına Şikâyet Mekanizması

29.12.2022 tarihinde Elektronik Ticaret Aracı Hizmet Sağlayıcı ve Elektronik Ticaret Hizmet Sağlayıcılar Hakkında Yönetmelik (“Yönetmelik”) Resmî Gazete’de yayımlanmıştır. Bu Yönetmelik kapsamında, etkin ve adil rekabet ortamının tesis edilmesi ve elektronik ticaretin gelişiminin sağlanmasını temin için gerekli görülen usul ve esasların belirlenmesi amaçlanmıştır.

Yönetmelik’teki önemli değişiklerden biri de “Fikri ve Sınai Mülkiyet Hakkı İhlali”ni düzenleyen bölümdür. Bu bölümde, “Fikri ve sınai mülkiyet hakkı ihlaline yönelik şikâyet başvurusu”, “Şikâyet başvurusuna itiraz” ve “Şikâyet başvurusunun sonuçlandırılması” hususları ayrı ayrı düzenlenmiştir. Bu düzenleme ile başta marka hakları olmak üzere tüm fikri ve sınai hakların korunmasına yönelik hızlı sonuç alınabilmesi hedeflenmiştir. Bu kapsamda da, fikri ve sınai hakların ihlaline ilişkin bir şikayet olduğunda inceleme olmaksızın ürünü yayımdan kaldırma yükümlülüğü ile e-ticaret platformlarının aktif bir şekilde fikri ve sınai hakların korunmasında rol alması sonucu doğmaktadır.

E-ticaret platformları Yönetmelik’te “Elektronik Ticaret Aracı Hizmet Sağlayıcı” (“ETAHS”) kapsamında kabul edilmiştir. Yönetmelik’te ETAHS şu şekilde tanımlanmıştır: “Elektronik ticaret pazar yerinde elektronik ticaret hizmet sağlayıcıların mal veya hizmetlerinin teminine yönelik sözleşme yapılmasına ya da sipariş verilmesine imkân sağlayan aracı hizmet sağlayıcı”.

Yönetmelik’teki bir diğer önemli terim ise “Elektronik Ticaret Hizmet Sağlayıcı”dır (“ETHS”) ve şu şekilde tanımlanmıştır: “Elektronik ticaret pazar yerinde ya da kendine ait elektronik ticaret ortamında mal veya hizmetlerinin teminine yönelik sözleşme yapan ya da sipariş alan hizmet sağlayıcı”.

Fikri ve sınai hakların ihlali durumunda yapılacak şikayetin usul ve esasları ile ETAHS ve ETHS’nin bu süreçteki hak ve yükümlülükleri aşağıda detaylıca açıklanmaktadır.

Fikri ve Sınai Mülkiyet Hakkı İhlaline Yönelik Şikâyet:

Yönetmelik’e göre, fikri ve sınai mülkiyet hakkı ihlaline yönelik şikâyet başvurusu, dâhili iletişim sistemi, noter veya KEP (kayıtlı elektronik posta) aracılığıyla aşağıda belirtilen hususları içerecek şekilde ETAHS’ye yapılabilir:

  • Türk Patent ve Marka Kurumunca düzenlenen hak sahipliğini gösterir tescil belgesi veya Kültür ve Turizm Bakanlığınca düzenlenen bandrol formu ya da 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamındaki meslek birlikleri bakımından faaliyet belgesi.
  • Şikâyette bulunanın gerçek kişi olması halinde adı, soyadı, T.C. kimlik numarası, adres bilgileri, e-posta adresi ve varsa KEP adresi; tüzel kişi olması halinde unvanı, adres bilgileri, e-posta adresi, varsa KEP adresi ve vekil sıfatıyla şikâyette bulunulması halinde vekalet verenin ve vekilin anılan bilgileri ile vekilin temsile yetkili olduğunu gösterir belge.
  • Şikâyet konusu ürünün fikri ve sınai mülkiyet hakkını ihlal ettiğine dair gerekçe ve deliller.
  • Şikâyete konu ürünü gösterir internet adresi.
  • Şikâyet başvurusu kapsamında sunulan bilgi ve belgelerin gerçeğe aykırı olması durumunda başvuru sahibinin doğacak zararlardan sorumlu olduğuna dair beyanı.

Yönetmelik ile yukarıda belirtilen hususları içermeyen başvurular, ETAHS tarafından işleme alınmayacak ve eksikler konusunda başvurucu bilgilendirilecektir.

Yukarıdaki şartları sağlayan başvurular bakımından ise ETAHS, şikâyet başvurusunun kendisine ulaşmasından itibaren 48 saat içerisinde şikâyete konu ürünü yayımdan kaldırmalı, durumu ETHS’ye ve hak sahibine bildirmelidir. Ayrıca, ETHS’ye yapılacak bildirimde, şikâyet başvurusuna itiraz yöntemleri de açıklanmalıdır.

Fikri ve Sınai Mülkiyet Hakkı İhlaline Yönelik Şikâyete Karşı İtiraz:

Şikayete konu ürünün yayımdan kaldırılmasından sonra, ETHS’nin bu duruma itiraz etme hakkı bulunmaktadır. Yönetmelik ile itirazın, ürünü yayımdan kaldırılan ETHS tarafından dâhili iletişim sistemi, noter veya KEP aracılığıyla ETAHS’ye yapılması gerektiği düzenlenmiştir. Yönetmelik’e göre şikâyet başvurularına itirazda aşağıdaki hususların yer alması zorunlu olup ETAHS, aşağıda belirtilen hususları içermeyen itiraz başvurularını işleme almayacak ve itiraz sahibini eksiklikler konusunda bilgilendirecektir.

  • İtirazda bulunanın adı, soyadı veya unvanı ile yetkili temsilci veya vekil sıfatıyla itirazda bulunulması halinde bunların ad ve soyadları ile temsile yetkili olduklarını gösterir belge,
  • İtirazın gerekçeleri, yayımdan kaldırılan ürünün şikâyette bulunanın fikri ve sınai mülkiyet haklarını ihlal etmediğine dair belge ve deliller,
  • Ürünün orijinal olduğunu ispatlamaya elverişli fatura veya fatura yerine geçen belgeler, kendisinden başlayarak geriye doğru fikri ve sınai mülkiyet hakkı sahibini veya hak sahibinin verdiği yetkiyle ürünü piyasaya sunmuş kişileri gösterir sözleşme, sair belge ve deliller,
  • İtirazda bulunanın, itiraz başvurusu kapsamında sunulan bilgi ve belgelerin gerçeğe aykırı olması durumunda doğacak zararlardan sorumlu olduğuna dair beyanı.

Fikri ve Sınai Mülkiyet Hakkı İhlaline Yönelik Şikâyet başvurusunun sonuçlandırılması

ETAHS, ETHS tarafından sunulan itirazı inceleyecektir. ETAHS tarafından yapılacak inceleme yalnızca ETHS’den temin edilen bilgi ve belgelerin incelenmesi ile sınırlıdır. ETHS’nin itirazında haklı olduğu sunulan bilgi ve belgelerden açıkça anlaşılması halinde ETAHS, şikâyete konu ürünü itiraz başvurusunun kendisine ulaşmasından itibaren 24 saat içerisinde yeniden yayımlamalı ve durumu hak sahibi ile ETHS’ye gecikmeksizin bildirmelidir.

ETAHS, fikri ve sınai mülkiyet hakkı ihlalini ispatlayıcı yeni belgeler sunulmadıkça, aynı ürün ve iddiaya ilişkin yeni şikâyet başvurularını işleme almayacak ve bu durumu başvuru sahibine bildirecektir.

Yukarıda da bahsedildiği üzere, bu usul olası fikri ve sınai mülkiyet hakkı kayıplarının daha hızlı önüne geçilmesini amaçlamaktadır. Dolayısıyla, kişiler bu düzenlemeler ile cezai veya hukuki yargı yoluna başvurmaktan alıkonulamayacaktır. Bu kapsamda, ilgili kişilerin genel hükümlere göre adli ve idari mercilere başvurma haklarının bulunduğu Yönetmelik ile de açıkça ifade edilmiştir.

 

Yazarlar: Hatice Ekici Tağa, Bensu Özdemir, Ebru Gümüş

by Ebru Gümüş

Complaint to the E-Commerce Platforms in Case of Violation of IP Rights

The Regulation on Electronic Commerce Intermediary Service Providers and Electronic Commerce Service Providers (“Regulation”) was published in the Official Gazette on 29.12.2022. Within the scope of this Regulation, it is aimed to determine the procedures and principles required to establish an effective and fair competition environment and to ensure the development of electronic commerce.

One of the important amendments of the Regulation is the section that regulates “Violation of Intellectual and Industrial Property Rights”. In this section, the issues of “Complaint application for violation of intellectual and industrial property rights”, “Objection against the complaint application” and “Conclusion of the complaint application” are regulated separately. With this regulation, it is aimed to achieve quick results for the protection of all intellectual and industrial rights, especially trademark rights. In this context, when there is a complaint regarding the violation of intellectual and industrial rights, the obligation to remove the product without investigation arises as a result of e-commerce platforms taking an active role in the protection of intellectual and industrial rights.

E-commerce platforms are accepted within the scope of “Electronic Commerce Intermediary Service Provider” (“ETAHS”) in the Regulation. In the Regulation, ETAHS is defined as follows: “Intermediary service provider that enables the execution of contracts or placing orders for the supply of goods or services of electronic commerce service providers in the electronic commerce marketplace”.

Another important term in the Regulation is “Electronic Commerce Service Provider” (“ETHS”) and it is defined as follows: “Service provider that enters into a contract or takes orders for the supply of goods or services in the electronic commerce marketplace or its own electronic commerce environment”.

The procedures and principles of the complaint to be made in case of violation of intellectual and industrial rights, and the rights and obligations of ETAHS and ETHS in this process are explained in detail below.

Complaint Regarding Violation of Intellectual and Industrial Property Rights:

According to the Regulation, a complaint application regarding intellectual and industrial property rights violations can be made to the ETAHS via the internal communication system, notary public or KEP (registered e-mail):

  • The registration certificate showing the right ownership issued by the Turkish Patent and Trademark Office or the banderole form issued by the Ministry of Culture and Tourism or the activity certificate for professional associations within the scope of the Law on Intellectual and Artistic Works No. 5846.
  • If the complainant is a real person, his/her name, surname, TR identity number, address information, e-mail address and KEP address, if any; If it is a legal person, its title, address information, e-mail address, KEP address, if any, and in case of a complaint as a proxy, the aforementioned information of the principal and the attorney, and the document showing that the attorney is authorized to represent.
  • Reasons and evidence that the product, subject to the complaint, violates the intellectual and industrial property rights.
  • Internet address that indicates the product subject to the complaint.
  • Statement that the applicant is responsible for the damages that may arise in the event that the information and documents submitted within the scope of the complaint application are contrary to facts.

Applications that do not contain the above-mentioned issues, shall not be processed by ETAHS and the applicant shall be informed about the deficiencies.

In terms of applications that meet the above conditions, ETAHS shall remove the product subject to the complaint within 48 hours from the receipt of the complaint application and notify the ETHS and the rightsholder. In addition, the notification to ETHS shall explain the methods of appealing the complaint.

Objection Against the Complaint Regarding the Infringement of Intellectual and Industrial Property Rights:

ETHS has the right to object to this situation after the product subject to the complaint has been removed from publication. With the regulation, it is regulated that the objection shall be made to ETAHS through the internal communication system, notary public or KEP by ETHS, whose product has been discontinued. According to the Regulation, the following issues must be included in the objection against the complaint applications, and ETAHS shall not process the objection applications that do not contain the following issues and shall inform the complainant about the deficiencies.

  • The name, surname, or title of the complainant and, in case of an objection as an authorized representative or attorney, a document showing that they are authorized to represent with their name and surname,
  • Grounds for the objection, documents, and evidence that the discontinued product does not infringe the intellectual and industrial property rights of the complainant,
  • Invoices or documents replacing invoices suitable for proving that the product is original, contracts, other documents and evidence showing the owner of the intellectual and industrial property right, starting from the original, or the persons who put the product on the market with the authorization of the rightsholder,
  • Statement of the complainant that is responsible for the damages that may arise if the information and documents submitted within the scope of the objection application are false.

Completion of the Complaint Process

ETAHS shall review the objection filed by ETHS. The enquiry to be carried out by ETAHS is limited only to the enquiry of the information and documents obtained from ETHS. If it is clearly understood from the information and documents presented that ETHS is right in its objection, ETAHS shall re-publish the product subject to the complaint within 24 hours from the receipt of the objection application and notify the right owner and ETHS without delay.

ETAHS shall not process new complaint applications regarding the same product and claim and shall notify the applicant of this situation unless new documents proving the intellectual and industrial property rights violation are submitted.

As mentioned above, this method aims to prevent forfeiture of intellectual and industrial property rights more quickly. Therefore, people will not be prevented from applying to criminal or civil jurisdiction with these regulations. In this context, it is clearly stated in the Regulation that the persons concerned have the right to apply to the judicial and administrative authorities according to the general provisions.

 

Authors: Hatice Ekici Tağa, Bensu Özdemir, Ebru Gümüş

by Ebru Gümüş