Kişisel Verilerin Korunması Bülteni - 2025 1. Çeyrek

Türkiye’den Güncel Gelişmeler 

Kişisel Verileri Koruma Kurumu (Kurum), Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber Yayımladı

Kurum tarafından hazırlanan Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber, 26 Şubat 2025 tarihinde yayımlandı. Rehber, Kişisel Verileri Koruma Kurulu’nun özel nitelikli kişisel verilerin işlenme şartlarıyla ilgili yaklaşımını açıklamak, veri sorumlularının mevzuatta belirtilen hukuki dayanaklarla özel nitelikli kişisel verileri işleme süreçlerine ışık tutmak ve bu süreçlerde yerine getirmeleri gereken yükümlülükleri 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun bir şekilde gerçekleştirebilmelerini sağlamak amacıyla hazırlanmıştır.

Rehber’e buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

7545 Sayılı Siber Güvenlik Kanunu 19.03.2025 Tarih ve 32846 Sayılı Resmî Gazete’de Yayımlandı

12 Mart 2024 tarihinde Türkiye Büyük Millet Meclisi tarafından kabul edilen ve 19 Mart 2025 tarihinde 32846 sayılı Resmî Gazete’de yayımlanan 7545 sayılı Siber Güvenlik Kanunu; kamu ve özel sektör kurumlarını kapsayan önemli düzenlemeler getirmektedir. Kanun, siber güvenliği sağlamak amacıyla kamu ve özel sektörde faaliyet gösteren tüm aktörlerin yükümlülüklerini belirlemekte; siber tehditlerin önlenmesi, tespiti, müdahalesi ve cezalandırılmasıyla ilgili kurumsal yapı, yetki ve sorumlulukları düzenlemektedir. Ayrıca, Siber Güvenlik Başkanlığı’nın kurulmasını, Siber Güvenlik Kurulu’nun yetkilerini ve denetim, sertifikasyon, personel istihdamı gibi uygulamalara dair kapsamlı hükümler içermektedir. Kanun ayrıca, siber güvenlik ihlalleri, sır saklama yükümlülüğüne aykırılık ve gerekli önlemlerin alınmaması durumunda idari para cezaları ve hapis cezaları içermektedir.

Kanun’a buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.  

Kurum, Standart Sözleşmelerde Dikkat Edilmesi Gerekenlere Yönelik Kamuoyu Duyurusu Yayımladı

Kurum tarafından 5 Şubat 2025 tarihinde yayımlanan Standart Sözleşmelerde Dikkat Edilmesi Gerekenlere Yönelik Kamuoyu Duyurusu, standart sözleşmelerin geçerliliği, imza ve bildirim süreçlerine ilişkin temel kuralları ortaya koymaktadır. Duyuruda, sözleşmenin taraflarca usule uygun şekilde imzalanmasının zorunlu olduğu, imza yetkisine ilişkin belgelerin eksiksiz ve uyumlu biçimde Kurum’a sunulması gerektiği vurgulanmıştır. Ayrıca, sözleşmenin imzalanmasını takiben beş iş günü içinde Kurum’a bildirilmesi, imza tarihinin açıkça belirtilmesi ve sözleşme içeriğinde dil ve taraf bilgileri bakımından tutarlılık sağlanması gerektiğine dikkat çekilmiştir.

Kurum tarafından yayımlanan Kamuoyu Duyurusu’na buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Kurum, Arabuluculuk Faaliyetleri Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmesine İlişkin Kamuoyu Duyurusu’nu Yayımladı

Kurum, 13 Ocak 2025 tarihinde Arabuluculuk Faaliyetleri Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmesine İlişkin Kamuoyu Duyurusu’nu yayımladı. Kamuoyu Duyurusu’nda, 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu m. 11 uyarınca, arabulucuların, faaliyetlerine başlamadan önce tarafları arabuluculuk sürecinin esasları, işleyişi ve sonuçları hakkında bilgilendirmekle yükümlü olduğu belirtilmiştir. Ancak bu bilgilendirme yükümlülüğünün, KVKK m. 10’da düzenlenen aydınlatma yükümlülüğünden farklı olduğu vurgulanmıştır.

Bu doğrultuda, arabulucuların hem arabuluculuk sürecine ilişkin bilgilendirme yapması hem de KVKK hükümleri uyarınca kişisel verilere yönelik ayrı bir aydınlatmada bulunması gerekmektedir. Kamuoyu Duyurusu, arabulucuların veri sorumlusu sıfatını taşıdığı ve bu sıfatla KVKK’daki tüm yükümlülüklere tabi olduklarını açıkça ortaya koymaktadır.

Kurum tarafından yayımlanan Kamuoyu Duyurusu’na buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Reklam Kurulu, Evkur İnternet Sitesinde Tüketicilere Sunulan “Kullanıcı ve Gizlilik Sözleşmesi” Metnine İlişkin Yaptırım Uyguladı

Reklam Kurulu’nun 16 Ocak 2025 tarihli basın bülteninde detaylarına ve gerekçesine yer verildiği üzere, Evkur Alışveriş Merkezleri Ticaret A.Ş.’ye ait evkur.com.tr internet sitesinde yer alan “Kullanıcı ve Gizlilik Sözleşmesi” içeriği incelenmiş ve metinde tüketicilerin aktif eylemleri ya da onayları olmadan ticari elektronik ileti onayı verildiğine dair ifadelerin yer aldığı, hedefli reklam ve pazarlama faaliyetlerine yönelik tercihte bulunma hakkı tanınmadığı, onayların aynı kolaylıkta geri alınmasına olanak sağlanmadığı ve yeterli bilgilendirme yapılmadığı tespit edilmiştir. Bu nedenle, Evkur’un söz konusu uygulaması, haksız ticari uygulama niteliği taşıdığı değerlendirilmiş ve söz konusu uygulamaların durdurulmasına karar verilmiştir.

Reklam Kurulu tarafından yayımlanan Karar’ın yer aldığı basın bültenine buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Ticari elektronik ileti göndermek isteyen gerçek veya tüzel kişiler, KVKK ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında yer alan yükümlülüklerini net bir şekilde tespit ederek onaya tabii süreçleri ayrıştırmalı ve kişilerin aktif bir eylemi olmaksızın peşinen rıza verildiğini kabul eden ticari uygulamalardan vazgeçmelidir.  

Kurum, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberini Güncelledi

Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi, 12.03.2024 tarih ve 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun ile KVKK ile uyumlu hale getirildi.

Rehberde, kişisel verilerin özellikle yurt dışına aktarılmasına ilişkin getirilen yeni düzenlemeler doğrultusunda, özel nitelikli kişisel verilerin yurt içinde aktarımı ile kişisel verilerin yurt dışına aktarımında uygulanacak şartlara dair kapsamlı açıklamalara yer verilmiştir. Ayrıca, yeterlilik kararı, uygun güvenceler ve arızi aktarım gibi kavramlar çerçevesinde bankacılık sektörüne özgü örnek uygulamalar sunularak, KVKK değişiklikleri ile uyumlu ve uygulamaya rehberlik edecek nitelikte güncellemeler yapılmıştır.

Kurum tarafından güncellenen Rehber’e buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Dünya’dan Güncel Gelişmeler

Avrupa Veri Koruma Kurulu (EDPB) Veri Koruma Hukuku İle Rekabet Hukuku Arasındaki Etkileşimin ve Bu Hususta Düzenleyiciler Arasındaki İş Birliğinin Nasıl İyileştirilebileceğinin Ele Alındığı Bir Görüş Dokümanı Yayımladı

EDPB, 17 Ocak 2025 tarihinde veri koruma hukuku ile rekabet hukuku arasındaki etkileşimin ve bu hususta düzenleyiciler arasındaki iş birliğinin nasıl iyileştirilebileceğinin ele alındığı bir görüş dokümanı yayımladı. Dokümanda, veri koruma ve rekabet hukuku arasındaki kesişim noktalarına ve bu iki alanın paylaştığı ortak hedeflere değinilmektedir. Ayrıca, veri koruma uygulamalarında rekabet hukuku ilgili unsurların dikkate alınmasının önemi vurgulanmakta ve rekabet hukuku çerçevesinde yapılan analizlerde kişisel verilerin korunmasına yönelik düzenlemelere de yer verilmesi gerektiği ifade edilmektedir. Düzenleyici kurumlar arasında daha yakın bir iş birliği kurulmasına yönelik çeşitli önerilere de yer verilmektedir.

EDPB tarafından yayımlanan görüş dokümanının İngilizce metnine buradan ulaşabilirsiniz.

EDPB, Bağlayıcı Şirket Kurallarının Onaylanmasına İlişkin Prosedürü Açıklayıcı Bir Doküman Yayımladı

EDPB, 19 Mart 2025 tarihinde, veri sorumluları ve veri işleyenler için Bağlayıcı Şirket Kuralları’nın (BCR) onayına ilişkin iş birliği usulünü detaylandıran bir belge yayımladı. 13 Mart 2025 tarihinde kabul edilen söz konusu belgede, BCR sürecinde yetkili denetim otoritesinin belirlenmesine ilişkin esaslara yer verilmiş olup; bu belirlemede, ilgili grubun Avrupa’daki merkezinin konumu ile veri koruma sorumluluğunun hangi şirkete tevdi edildiği gibi çeşitli kriterlerin dikkate alınacağı belirtilmiştir.

Belgede, yetkili denetim otoritesinin incelemesini, diğer denetim otoriteleriyle birlikte gerçekleştirilen eşzamanlı inceleme aşamasını, iş birliği sürecini, ihtilaflı hususlar bakımından düzenlenen BCR oturumlarını ve EDPB görüş sürecini içeren çok aşamalı bir onay prosedürü tanımlanmakta olup; sürecin, yetkili denetim otoritesinin nihai onayı ve onaylanan BCR metninin ilgili dillere tercümesi ile tamamlandığı ifade edilmiştir.

EDPB tarafından yayımlanan dokümanın İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Birliği Adalet Divanı’nın (ABAD) C-203/22 Sayılı Kararı Yayımladı

ABAD’ın 27 Şubat 2025 tarihinde yayımladığı kararda, bir kişinin hakkında otomatik olarak verilen kredi değerlendirmesi kararına ilişkin olarak, kararın nasıl alındığı konusunda bilgilendirme talep edebileceği belirtilmiştir. Bu bilgilendirmenin, kişinin kararı kavrayabilmesine ve gerekirse bu karara itiraz edebilmesine imkân verecek şekilde olması gerektiği de vurgulanmıştır.

İlgili olayda, Avusturya’da faaliyet gösteren bir mobil operatör, bir müşterinin kredi notunun düşük olduğu gerekçesiyle sözleşme yapmayı reddetmiş; bu kararı, Dun & Bradstreet Austria tarafından gerçekleştirilen otomatik bir kredi değerlendirmesine dayandırmıştır. ABAD, otomatik karar süreçlerinde kullanılan kişisel verilerin neler olduğunu ve bu verilerin nasıl değerlendirildiğini açıklamakla yükümlü olan veri sorumlusunun, yalnızca algoritmanın teknik detaylarını paylaşmakla yetinemeyeceğini, açıklamanın anlaşılabilir ve şeffaf olması gerektiğini belirtmiştir. Ayrıca, verilecek bilgilerin ticari sır veya üçüncü kişilere ait verilere ilişkin hassas unsurlar içermesi durumunda, bu bilgilerin yalnızca yetkili denetim makamlarına veya mahkemelere sunulmasının uygun olacağı ifade edilmiştir.

ABAD’ın ilgili kararının İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Sağlık Veri Alanı’na İlişkin 2025/327 Sayılı Tüzük, 5 Mart 2025 Tarihli Avrupa Birliği (AB) Resmî Gazetesi’nde Yayımlandı

Avrupa Sağlık Veri Alanı’na ilişkin yeni düzenleme, 2025/327 sayılı Tüzük kapsamında 5 Mart 2025 tarihinde AB Resmî Gazetesi’nde yayımlandı. Tüzük ile Avrupa genelinde elektronik sağlık verilerinin paylaşımı ve kullanımı konusunda ortak bir yapı oluşturulması hedefleniyor. Düzenleme, bireylerin kendi elektronik sağlık verilerine erişim haklarını güçlendirirken, bu veriler üzerindeki kontrollerini artırmayı da amaçlıyor. Aynı zamanda, belirli sağlık verilerinin kamu yararı veya bilimsel araştırmalar gibi amaçlarla yeniden kullanılmasına imkân tanınıyor. Söz konusu Tüzük, 26 Mart 2025 itibarıyla yürürlüğe girmiş olup uygulamaya kademeli olarak geçilecektir.

İlgili Tüzük’ün İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Komisyonu, Temel Hakları İhlal Etmeleri Nedeniyle AB Değerlerine Aykırı Kabul Edilen ve AB Yapay Zekâ Tüzüğü’nün (YZ Tüzüğü) 5. Maddesi Kapsamında Yasaklanan Yapay Zekâ Uygulamalarına İlişkin Olarak Yol Gösterici Mahiyette Bir Rehber Yayımladı

Avrupa Komisyonu 4 Şubat 2025 tarihinde temel hakları ihlal etmeleri nedeniyle AB değerlerine aykırı kabul edilen ve YZ Tüzüğü madde 5 kapsamında yasaklanan yapay zekâ uygulamalarına ilişkin olarak yol gösterici mahiyette bir rehber yayımladı. YZ Tüzüğü, yüksek düzeyde sağlık, güvenlik ve temel haklar koruması sağlarken inovasyonu teşvik etmeyi amaçlamakta olup, yapay zekâ sistemlerini yasaklı, yüksek riskli ve şeffaflık yükümlülüklerine tabi kategorilere ayırmaktadır. Zararlı manipülasyon, sosyal puanlama ve gerçek zamanlı uzaktan biyometrik tanımlama gibi uygulamalara özel olarak odaklanılmaktadır.

Söz konusu rehber, AB genelinde YZ Tüzüğü’nün tutarlı ve etkili şekilde uygulanmasını desteklemek amacıyla hazırlanmış olup, bağlayıcı değildir. Paydaşlara YZ Tüzüğü kapsamındaki yükümlülükleri açıklığa kavuşturmak üzere hukuki açıklamalar ve pratik örnekler sunulmakta; bu sayede AB’nin güvenli ve etik bir yapay zekâ ekosistemi oluşturma taahhüdü pekiştirilmektedir.

Avrupa Komisyonu tarafından yayımlanan Rehberin İngilizce metnine buradan ulaşabilirsiniz.

Neler Yapılabilir?

• YZ Tüzüğü’ne tabi şirketlerin, yapay zekâ uygulamalarını geliştirirken ve kullanırken tüzüğün risk sınıflandırmasını mutlaka göz önünde bulundurmalı; yüksek riskli uygulamalar/sistemler için özel denetim ve kontrol mekanizmaları oluşturmalıdır. Bu süreçte şüphesiz Avrupa Komisyonunun açıklamaları ve somut örnekleri yol gösterici olacaktır. 

Avrupa Komisyonu, YZ Tüzüğü’nün Uygulanmasını Kolaylaştırmak Amacıyla Yapay Zekâ Sistemi Tanımına İlişkin Bir Rehber Yayımladı

Avrupa Komisyonu, 6 Şubat 2025 tarihinde, YZ Tüzüğü’nün uygulanmasını desteklemek amacıyla yapay zekâ sistemi tanımına ilişkin yol gösterici nitelikte bir rehber yayımlamıştır. Rehber, sağlayıcılar ve diğer paydaşların bir yazılım sisteminin yapay zekâ sistemi olarak değerlendirilip değerlendirilemeyeceğini belirlemelerine yardımcı olmayı amaçlamakta olup; ilerleyen süreçte edinilecek tecrübeler, yeni sorular ve kullanım senaryoları doğrultusunda güncellenecektir.

Avrupa Komisyonu tarafından yayımlanan Rehberin İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Parlamentosu Araştırma Servisi (EPRS), YZ Tüzüğü ile Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) Arasındaki Etkileşimin ve Algoritmik Ayrımcılığın Nasıl Ele Alındığının İncelendiği Bir Çalışma Yayımladı

EPRS, 26 Şubat 2025 tarihinde YZ Tüzüğü ile GDPR arasındaki etkileşimin ve algoritmik ayrımcılığın nasıl ele alındığının incelendiği bir çalışma yayımladı. YZ Tüzüğü, bireylerin kişisel verilerinin korunması hakkı da dâhil olmak üzere temel hak ve özgürlüklere saygılı, insan merkezli ve güvenilir yapay zekânın teşvik edilmesini amaçlamaktadır. Bu kapsamda yapılan değerlendirmelerde, YZ Tüzüğü’nün özellikle yüksek riskli yapay zekâ sistemlerinde ayrımcılık ve önyargının azaltılmasını hedeflediği ve bu doğrultuda belirli koşullar altında özel nitelikli kişisel verilerin işlenmesine imkân tanıdığı; öte yandan GDPR’nin bu tür verilere ilişkin daha kısıtlayıcı hükümler içerdiği ifade edilmektedir.

Bu durumun uygulamada belirsizliklere yol açabileceği; YZ Tüzüğü ve GDPR arasında uyum sağlanabilmesi için ek rehberlik sunulması veya mevzuatta değişiklik yapılmasının gerekebileceği belirtilmektedir.

EPRS tarafından yayımlanan çalışmanın İngilizce metnine buradan ulaşabilirsiniz.

Birleşik Krallık Veri Koruma Otoritesi (ICO), “Rıza veya Ödeme” Modelini Uygulayan ya da Uygulamayı Düşünen Kuruluşlara Rehberlik Sağlamak Amacıyla Bir Rehber Yayımladı

ICO, 23 Ocak 2025 tarihinde Rıza veya Ödeme modelini uygulayan ya da uygulamayı düşünen kuruluşlara rehberlik sağlamak amacıyla bir rehber yayımladı. Rehberde yer alan model kapsamında üç seçenek sunulmaktadır: (i) çevrim içi bir ürün veya hizmete erişim için kişisel verilerinin kişiselleştirilmiş reklamcılık amacıyla kullanılmasına onay vermek, (ii) kişisel verileri kullanılmadan, belirli bir ücret karşılığında ilgili ürün veya hizmete erişim sağlamak ve (iii) ürünü veya hizmeti kullanmamayı tercih etmek.

Söz konusu rehberde, bu modelin geçerli bir rıza kabul edilip edilmeyeceğini değerlendirmek için dikkate alınması gereken temel faktörlerin yer aldığı bir çerçeve sunulmaktadır. Ayrıca, “rıza ya da ödeme” modeli uygulayan kuruluşların bireylerin kişiselleştirilmiş reklamcılığa özgür iradeyle rıza gösterdiğini kanıtlayabilmesi gerektiği vurgulanmakta ve veri koruma etki değerlendirmesi kapsamında modelin incelenmesi gerektiği belirtilmektedir. Bu süreçte, mevcut veri koruma ilkeleri ile ilgili düzenleyici kurum ve otorite rehberlerinin de dikkate alınması gerektiği ifade edilmektedir.

ICO tarafından yayımlanan Rehberin İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Komisyonu GDPR’nin Sadeleştirilmesine Yönelik Planı Açıkladı

Avrupa Komisyonu, 13 Mart 2025 tarihinde Adalet, Demokrasi, Hukukun Üstünlüğü ve Tüketici Korumasından Sorumlu Komiser Michael McGrath’ın açıklamasıyla, küçük ve orta büyüklükteki işletmeler (KOBİ) üzerindeki yükü azaltmak amacıyla GDPR’nin sadeleştirilmesini değerlendirdiklerini açıkladı.

11 Şubat 2025 tarihinde yayımlanan 2025 Komisyon Çalışma Programı kapsamında, dijital politikalara ilişkin mevzuatın genel uygunluk değerlendirmesi ve “Dijital Paket” adlı girişim, 2025 yılının dördüncü çeyreğinde hayata geçirilmesi planlanan adımlar arasında yer almaktadır. Bu kapsamda, GDPR’nin yanı sıra Veri Yönetişimi Tüzüğü, Veri Yasası, Siber Güvenlik Yasası, Siber Dayanıklılık Yasası, AB Çip Yasası ve Yapay Zekâ Yasası gibi düzenlemelerde de değişiklik yapılması öngörülmektedir.

Avrupa Komisyonu tarafından yapılan açıklamanın detaylarına İngilizce olarak buradan ve açıklamanın gerçekleştirildiği İngilizce videoya buradan ulaşabilirsiniz.

ICO, İşe İlişkin Kayıtların İşlenmesine Dair Yükümlülükler Konusunda İşverenlere Rehberlik Sağlamak Amacıyla Yeni Bir Rehber Yayımladı

ICO, 5 Şubat 2025 tarihinde, işverenlerin Birleşik Krallık Genel Veri Koruma Tüzüğü (UK GDPR) ve 2018 tarihli Veri Koruma Yasası kapsamındaki yükümlülüklerini yerine getirmelerine yardımcı olmak amacıyla, istihdam kayıtlarının hukuka uygun şekilde toplanması, saklanması ve yönetilmesine ilişkin yeni bir rehber yayımladı.

Rehber üç ana bölümden oluşmaktadır: (i) kişisel verilerin işlenmesi için hukuki dayanaklar, özel nitelikli ve adli veri işleme şartları ile çalışanların veri üzerindeki haklarını içeren kayıtların toplanması ve korunmasına ilişkin ilkeler; (ii) çalışan verilerinin kullanımı, üçüncü kişilerle paylaşımı, referans verme, bilgilerinin yayımlanması, şirket birleşmeleri ve yeniden yapılanma süreçlerindeki yükümlülükler; (iii) istihdam fonksiyonlarına yönelik kontrol listeleri, özellikle kayıt tutma, dış kaynaklı hizmetler, eşitlik izleme, sigorta ve emeklilik sistemlerine yönelik pratik kontrol adımları yer almaktadır.

Rehber yalnızca veri koruma yükümlülüklerine odaklanmakta olup, işverenlerin iş hukuku, iş sağlığı ve güvenliği gibi farklı mevzuatlardan kaynaklı yükümlülükleri için ayrı hukuki danışmanlık almaları gerektiği ifade edilmektedir.

ICO tarafından yayımlanan Rehberin İngilizce metnine buradan ulaşabilirsiniz.

AB, Siber Dayanıklılığı Artırmak Amacıyla Siber Dayanışma Tüzüğünü Yürürlüğe Koydu

Avrupa Birliği Siber Dayanışma Tüzüğü, 4 Şubat 2025 tarihinde yürürlüğe girdi. Tüzük ile AB genelinde siber tehditlere karşı hazırlık, tespit ve müdahale kapasitesinin artırılması hedeflenmektedir.

Tüzük kapsamında, yapay zekâ ve veri analitiği ile çalışan ulusal ve sınır ötesi Güvenlik Operasyon Merkezlerinden (SOC) oluşan bir Avrupa Siber Güvenlik Uyarı Sistemi kurulacaktır. Ayrıca, kritik sektörlerde zafiyet testleri ve siber olaylara müdahale için özel hizmet sağlayıcılardan oluşacak bir AB Siber Güvenlik Rezervi hayata geçirilecektir. Tüzük aynı zamanda olay sonrası değerlendirme süreçlerini kapsayan bir Siber Güvenlik Olayı İnceleme Mekanizması oluşturmayı da öngörmektedir.

Tüzük’ün İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Birliği Adalet Divanı (ABAD), Kişisel Verilerin Amerika Birleşik Devletleri’ne (ABD) Aktarımı Nedeniyle Avrupa Komisyonu’nun Tazminat Ödemesine Hükmetti

ABAD, 8 Ocak 2025 tarihli kararında (Bindl v Commission, T-354/22), Avrupa Komisyonu’nun, bir Alman vatandaşının kişisel verilerini yeterli güvenceler olmaksızın ABD’ye aktarması nedeniyle 400 avro tazminat ödemesine karar verdi.

Dava, Avrupa Komisyonu’nun “Avrupa’nın Geleceği Konferansı” web sitesinde Facebook ile giriş seçeneği sunması sonucunda başvurucunun IP adresi gibi kişisel verilerinin Meta Platforms, Inc.’e aktarılmasına dayanmaktadır. İlgili kişi, kişisel verilerinin ABD güvenlik ve istihbarat birimlerine aktarılma riskinin mevcut olduğunu ve ABD'nin yeterli düzeyde veri koruması sağlamadığını ileri sürmüştür. ABAD, söz konusu aktarımda yeterli teknik ve hukuki korumanın mevcut olmadığını, standart sözleşme ve benzeri yurt dışı aktarımına özgülenmiş yeterli güvencelerin sağlanmadığını ve veri sahibinin bu nedenle manevi zarar gördüğünü kabul etmiştir.

Karar, AB kurumlarının veri aktarımı süreçlerinde uygun güvenlik önlemlerini almadığı takdirde tazminat ödemekle yükümlü olabileceğini ortaya koymaktadır.

ABAD tarafından verilen Karar’ın İngilizce metnine buradan ulaşabilirsiniz.

Bülteni pdf formatında indirmek için tıklayınız.