Kişisel Verilerin Korunması Bülteni - 2025 2. Çeyrek

Türkiye’den Güncel Gelişmeler 

Kişisel Verileri Koruma Kurumu (Kurum), Kişisel Verilerin Korunması Terimler Sözlüğü’nü Yayımladı

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili mevzuattaki tanımlar ile ulusal çalışmalar başta olmak üzere; Avrupa Birliği düzenlemeleri ile Avrupa Veri Koruma Kurulu (EDPB), Avrupa Veri Koruma Denetçisi (EDPS), Uluslararası Gizlilik Profesyonelleri Derneği (IAPP) ve benzeri kuruluşların çalışmaları arasından seçilen yüz kavrama ilişkin tanımın bir araya getirilmesiyle oluşturulan “Kişisel Verilerin Korunması Terimler Sözlüğü” yayımlandı. Sözlük, kişisel verilerin korunması ile ilişkili olan seçilmiş kavramları bir araya getirerek ilgililere erişim kolaylığı sağlamayı amaçlamaktadır.

Kurum tarafından yayımlanan sözlüğe buradan ulaşabilirsiniz.

Kurum İdari Para Cezalarının Tebliği’nde Hazine ve Maliye Bakanlığı Gelir İdaresi Başkanlığının E-Tebligat Uygulamasının Kullanılması Hakkında Kamuoyu Duyurusu Yayımladı 

Kurum, idari para cezalarının tebliğine ilişkin sürecin artık Hazine ve Maliye Bakanlığı Gelir İdaresi Başkanlığı’nın E-Tebligat Uygulaması üzerinden yürütüleceğini duyurdu. Yeni sistem, 213 sayılı Vergi Usul Kanunu uyarınca kurulan altyapı ile çalışacak olup; tebligatlar, alıcının e-posta adresine ulaştığı tarihi izleyen beşinci gün sonunda yapılmış sayılacaktır. Vergi mükellefi olmayan veri sorumlularına yönelik tebligatlar ise önceki usule göre devam edecektir.

Kurum tarafından yayımlanan Kamuoyu Duyurusu’na buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Kurum, Seyahat ve Konaklama Sürecinde Kişisel Verilerin Korunmasına İlişkin Tavsiyeleri Yayımladı

Kurum, seyahat ve tatil dönemlerinde kişisel veri güvenliğinin sağlanmasına yönelik dikkat edilmesi gereken hususlara dair tavsiyelerini içerir bir bilgilendirme yayımladı.

Tavsiyeler arasında; sahte rezervasyon bildirimlerine karşı dikkatli olunması, bilet/biniş kartı görüntülerinin paylaşılmaması, aydınlatma metinlerinin okunması, sosyal medya paylaşımlarında özenli olunması, hassas işlemlerin güvenli bağlantılar üzerinden yapılması, güçlü parolalar kullanılması ve mobil cihazlar için uzaktan erişim güvenlik önlemlerinin aktif hale getirilmesi yer alıyor.

Kurum tarafından yayımlanan Tavsiyeler’e buradan ulaşabilirsiniz.

Kişisel Verileri Koruma Kurulu’nun (Kurul) SMS ile Açık Rıza Alınmasına Son Verilmesi Gerektiğine Dair İlke Kararı Yayımlandı

Kurul’un 10.06.2025 tarih ve 2025/1072 sayılı İlke Kararı, 26.06.2025 tarihli ve 32938 sayılı Resmî Gazete’de yayımlandı.

Karar ile, ödeme yapma, kayıt açma, üyelik oluşturma gibi ürün ve hizmet sunumu sırasında gönderilen SMS doğrulama kodlarının, ilgili kişilere yeterli bilgilendirme yapılmaksızın açık rıza veya ticari ileti onayı almak amacıyla kullanıldığı uygulamaların aykırı olduğu değerlendirilmiştir. Kurul, bu süreçlerde aydınlatma yükümlülüğünün eksiksiz yerine getirilmesi, açık rızanın özgür iradeyle ve her işlem için ayrı ayrı alınması gerektiğini vurgulamıştır. Açık rızanın hizmetin ön koşuluymuş gibi sunulmasının da geçerli bir rıza oluşturmayacağı ifade edilmiştir.

Kurul’un İlke Kararı metnine buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Doğrulama kodu gönderilen işlemlerde, ilgili kişilere işlem öncesinde ve SMS içeriğinde açık, anlaşılır ve katmanlı bir şekilde aydınlatma yapılmalıdır.
• Tek bir işlemle üyelik onayı, ticari ileti izni ve kişisel veri işleme rızası alınmasından kaçınılmalı; her biri için ayrı açık rıza mekanizmaları sunulmalıdır.
• Ticari elektronik ileti onayı, hizmetin ön koşulu gibi sunulmamalı; açık rıza vermeyen kişilerin de hizmetten yararlanabileceği açıkça belirtilmelidir.
• Süreçlerde görev alan personele düzenli eğitimler verilmeli; uygulamalar periyodik olarak gözden geçirilerek mevzuata uyum sağlanmalıdır.

Dünya’dan Güncel Gelişmeler

EDPB, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) m. 48’e İlişkin 02/2024 Sayılı Rehberi Nihai Hâliyle Yayımladı

EDPB, GDPR 48. maddesine ilişkin olarak hazırladığı 02/2024 sayılı rehberi, kamuoyu görüşü sürecinin ardından 4 Haziran 2025 tarihinde nihai hâline getirerek yayımladı.

Rehber, üçüncü ülke otoritelerinin doğrudan veri sorumlularından veya veri işleyenlerden kişisel veri talep ettiği durumlarda GDPR kapsamında izlenmesi gereken hukuki çerçeveyi açıklamaktadır. EDPB, bu tür taleplerin ancak AB ile üçüncü ülke arasında geçerli bir uluslararası anlaşma varsa geçerli olabileceğini ve bu durumlarda hem GDPR madde 6’daki işleme şartlarına hem de GDPR Bölüm V’teki aktarım hükümlerine uyulması gerektiğini vurgulamaktadır.

Rehberin İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Birliği Adalet Divanı “Önemli Kararlar Seçkisi”nin 2024 Yılına Ait Versiyonunu Yayımladı

Avrupa Birliği Adalet Divanı, 2024 yılı içinde verdiği önemli kararların özetlerini içeren “Önemli Kararlar Seçkisi”nin yeni versiyonunu yayımladı.

Seçkide, kişisel verilerin korunmasına ilişkin kararlar kapsamında; elektronik haberleşme verilerinin işlenmesi, biyometrik ve genetik veriler, GDPR’ın kapsamı, veri sorumlusu tanımı ve ihlaller karşısında başvurulabilecek hukuki yollar gibi konulara dair örnek kararlar yer almaktadır.

ABAD’ın yayımladığı 2024 yılına ait “Önemli Kararlar Seçkisi”nin İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Komisyonu, Yapay Zekâ Okuryazarlığına İlişkin Soru-Cevap Dokümanı Yayımladı

Avrupa Komisyonu, AB Yapay Zekâ Tüzüğü’nün 4. maddesi kapsamında yapay zekâ okuryazarlığına ilişkin bir soru-cevap dokümanı yayımladı.

Dokümanda, yapay zekâ sistemlerinin sağlayıcıları ile kişisel olmayan ve mesleki nitelik taşıyan faaliyetlerde bu sistemleri kullanan kişi ve kuruluşların, çalışanları ve temsilcileri için yeterli düzeyde yapay zekâ okuryazarlığı sağlamaya yönelik yükümlülükleri açıklanmaktadır.

Avrupa Komisyonu tarafından yayımlanan Soru-Cevap dokümanının İngilizce metnine buradan ulaşabilirsiniz.

Amerika Birleşik Devleti (ABD) Ulusal Güvenlik Ajansı (NSA); Avustralya, Yeni Zelanda Ve Birleşik Krallık’ın Siber Güvenlik Kurumlarıyla Birlikte Hazırlanan “Yapay Zekâda Veri Güvenliği: Yapay Zekâ Sistemlerinin Eğitimi Ve İşletilmesinde Kullanılan Verilerin Güvenliğini Sağlamaya Yönelik En İyi Uygulamalar” Başlıklı Belge’yi Yayımladı

Belgede, yapay zekâ sistemlerinin geliştirilmesi, test edilmesi ve işletilmesi sırasında kullanılan verilerin güvenliğine ilişkin en iyi uygulamalar, NIST Yapay Zekâ Risk Yönetimi Çerçevesi ile uyumlu şekilde sunulmaktadır. Öneriler arasında; veri bütünlüğünü sağlamak amacıyla dijital imzaların kullanılması, veri kökeninin izlenmesi, güvenilir altyapıların tercih edilmesi ve yaşam döngüsü boyunca sürekli risk değerlendirmesi yapılması yer almaktadır.

NSA tarafından yayımlanan Belge’nin İngilizce metnine buradan ulaşabilirsiniz.  

İngiltere, Veri Koruma Kurallarını Yeniden Şekillendiren Bir Dizi Yeni Düzenlemeyi Kabul Etti

İngiltere, veri koruma kurallarını yeniden şekillendiren bir dizi yeni düzenlemeyi kabul etti. Düzenlemeler kapsamında, Birleşik Krallık Genel Veri Koruma Yönetmeliğinde (UK GDPR), 2018 Veri Koruma Yasası ve Gizlilik ve Elektronik İletişim Yönetmelikleri’nde (PECR) önemli değişiklikler içeren yeni bir reform paketi kabul edildi. Haziran 2025’ten itibaren kademeli olarak yürürlüğe girecek bu değişikliklerle veri işleme süreçlerinde hem esneklik hem de yeni yükümlülükler getiriliyor.

Reform kapsamındaki değişiklikler arasında; kişisel bilgilerin araştırma amacıyla nasıl kullanılabileceğinin netleştirilmesi, bazı otomatik karar alma süreçlerine yönelik kısıtlamaların kaldırılması, belirli çerezlerin kullanıcı rızası olmadan nasıl kullanılabileceğinin belirlenmesi, bazı durumlarda yardım kuruluşlarının bireylere rıza almadan elektronik posta yoluyla pazarlama yapabilmesine izin verilmesi, kuruluşlara veri koruma şikayetlerini ele alacak bir prosedür oluşturma zorunluluğu getirilmesi ve “tanınan meşru menfaatler” adıyla yeni bir hukuki dayanağın tanımlanması yer almaktadır.

Reform ile birlikte İngiltere Veri Otoritesi’nin yetkileri de genişletilmiş olup daha güçlü denetim ve daha yüksek para cezaları uygulama imkânı sağlanmıştır.

Reformlar hakkında daha detaylı bilgilendirmenin İngilizce metnine buradan ulaşabilirsiniz.

Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Kurumların Etkili Siber Güvenlik Uygulamaları Geliştirmesi İçin Gereken Kültürel Zemini Tanımlayan “Siber Güvenlik Kültürü İlkeleri”ni Yayımladı

NCSC tarafından yayımlanan “Siber Güvenlik Kültürü İlkeleri”; siber güvenliğin kurum hedefleriyle uyumlu bir unsur olarak görülmesini, çalışanlar arasında güvenli davranışları teşvik eden bir ortam yaratılmasını, liderlerin bu alandaki sorumluluklarını üstlenmesini ve herkesin anlayabileceği açık güvenlik kurallarının uygulanmasını öneriyor.

NCSC ayrıca, sürdürülebilir bir güvenlik kültürü için siber güvenlik profesyonelleri, kültür uzmanları ve liderlerin birlikte çalışmasının önemine dikkat çekiyor. Kültürün sadece teknik önlemlerle değil, aynı zamanda davranış ve iletişim biçimleriyle de şekillendiği vurgulanıyor. Bu yaklaşımla Birleşik Krallık, güvenli bir dijital toplum inşa etmeyi amaçlıyor.

NCSC tarafından yayımlanan Siber Güvenlik Kültürü İlkeleri’nin İngilizce metnine buradan ulaşabilirsiniz.

İrlanda Veri Koruma Komisyonu (DPC), Çin’e Kişisel Veri Aktarımı Nedeniyle TikTok’a 530 Milyon Euro Para Cezası Verdi

DPC, kullanıcı kişisel verilerinin Çin’e aktarımına yönelik TikTok hakkında yürüttüğü soruşturma sonucunda, TikTok’un GDPR’yi ihlal ettiğine karar verdi.

2 Mayıs 2025 tarihli kararda, TikTok’un Avrupa Ekonomik Alanı (AEA) kullanıcılarına ait verilerin uzaktan erişim yoluyla Çin’e aktarımında GDPR madde 46/1'in ihlal edildiği, bu erişim sırasında AB’deki seviyeye denk bir veri koruma düzeyinin garanti edilmediği belirtildi. Ayrıca, TikTok’un gizlilik politikasında aktarım yapılan ülkelerin açıkça belirtilmediği ve aktarıma ilişkin faaliyetlerin şeffaf bir şekilde açıklanmadığı tespit edildi. DPC, bu nedenlerle GDPR madde 13/1-f kapsamındaki şeffaflık yükümlülüğünün de ihlal edildiğini değerlendirerek sonuç itibarıyla TikTok’a 530 milyon Euro para cezası verirken, TikTok’un veri aktarım uygulamalarını 6 ay içinde mevzuata uygun hale getirmesini talep etti.

DPC tarafından verilen Karar özetinin İngilizce metnine buradan ulaşabilirsiniz.

EDPB ve EDPS, GDPR Kapsamındaki Kayıt Tutma Yükümlülüklerinin Basitleştirilmesi Teklifini Destekleyen Ortak Bir Mektup Yayımladı

EDPB ve EDPS, Avrupa Komisyonu tarafından hazırlanan ve GDPR madde 30/5’te değişiklik öngören kayıt tutma yükümlülüğünün basitleştirilmesine ilişkin yasa teklifine dair ortak bir mektup yayımladı. Söz konusu teklif, veri koruma standartlarından ödün vermeden veri sorumluları ve veri işleyenler üzerindeki idari yükleri azaltmayı amaçlamaktadır.

Önerilen değişiklikler kapsamında; kayıt tutma yükümlülüğünden muafiyetin, 250’den az çalışanı olan işletmelerin yanı sıra, 500’den az çalışanı olan küçük ölçekli orta büyüklükteki şirketlere ve bazı kâr amacı gütmeyen kuruluşlara da genişletilmesi, “yüksek risk” kavramı esas alınarak muafiyetin kapsamının yeniden belirlenmesi ve bazı istisnaların kaldırılması öngörülmektedir. Ayrıca, istihdam ve sosyal güvenlik hukuku kapsamında işlenen özel nitelikli veriler için kayıt tutma yükümlülüğüne istisna getirilmesi de planlanmaktadır.

EDPB ve EDPS tarafından yayımlanan ortak mektubun İngilizce metnine buradan ulaşabilirsiniz.  

Küresel Sınır Ötesi Gizlilik Kuralları ve İşleyiciler İçin Gizlilik Tanıma Sertifikasyonları Yayımlandı

Küresel Sınır Ötesi Gizlilik Kuralları Forumu (Global CBPR Forum), 2 Haziran 2025 tarihinde Küresel Sınır Ötesi Gizlilik Kuralları Sertifikasyonu (Global CBPR) ve İşleyiciler için Gizlilik Tanıma Sertifikasyonu (PRP) sistemlerini yürürlüğe koydu. Mevcut Asya-Pasifik Ekonomik İşbirliği (APEC) CBPR çerçevesi temel alınarak geliştirilen bu mekanizmalar, veri sorumluları ve veri işleyenlerin uluslararası geçerliliğe sahip gizlilik standartları kapsamında gönüllü olarak sertifikalandırılmasına olanak sağlamaktadır. Sertifikalı kuruluşlar, bağımsız bir denetimden geçerek uluslararası düzeyde tanınan gizlilik ve veri koruma standartlarına uyum sağladıklarını gösterebilmektedir.

Halihazırda APEC CBPR sertifikasına sahip kuruluşların mevcut sertifikaları ise Global CBPR sistemi tarafından otomatik olarak tanınacaktır.

Global CBPR Forum’u tarafından yayımlanan sertifikasyonlara buradan ulaşabilirsiniz.

Almanya Köln Yüksek Eyalet Mahkemesi (OLG Köln) Kişisel Verilerin Yapay Zekâ Eğitiminde Kullanımının Dijital Piyasalar Yasası’nı (DMA) İhlal Etmediğine Hükmetti

Nisan 2025’te Meta Platforms Ireland, kullanıcıların herkese açık profil verilerini 27 Mayıs 2025’ten itibaren yapay zekâ eğitimi amacıyla kullanacağını, ancak kullanıcıların bu işleme itiraz edebileceğini duyurmuştu. Bunun üzerine Almanya’daki Tüketici Hakları Derneği (Verbraucherzentrale NRW), Meta’ya karşı Köln Yüksek Eyalet Mahkemesi’nde geçici tedbir talebiyle dava açmıştı. OLG Köln, 23 Mayıs 2025 tarihli kararında, Meta’nın Avrupa’daki Facebook ve Instagram kullanıcılarına ait herkese açık içerikleri yapay zekâ modellerinin eğitimi amacıyla kullanmasının, DMA madde 5/2-b hükmünü ihlal etmediğine hükmetti.

Mahkeme tarafından yapılan ön değerlendirme neticesinde, kullanıcı rızası olmadan yapılan bu işleme faaliyetinin, GDPR kapsamında meşru menfaate dayandığını ve Meta’nın yapay zekâ geliştirme amacıyla veri kullanımının hukuka uygun olduğunu değerlendirdi. Bu gerekçeyle talep edilen geçici tedbir reddedildi.

OLG Köln tarafından yayımlanan kararın İngilizce metnine buradan ulaşabilirsiniz.

Brezilya, Kişisel Verilerin Ticarileştirilmesine Yönelik Pilot Uygulama Başlattı

Brezilya, vatandaşların dijital verilerini sahiplenmesini ve gelir elde etmesini mümkün kılan “dWallet” isimli dijital cüzdan projesini pilot olarak uygulamaya aldı. Proje, devlet kurumları ile özel sektör arasında yürütülen ilk kamu-özel iş birliği modeli olup, kişisel verilerin mülkiyetine dayalı gelir paylaşımını esas alan dünyadaki ilk kapsamlı uygulamalardan biridir. Proje, devletin sosyal güvenlik bilişim hizmetlerini sağlayan kamu şirketi Dataprev ile veri değerleme alanında faaliyet gösteren ABD merkezli DrumWave firması tarafından yürütülmektedir.

Kullanıcılar, günlük dijital faaliyetlerinden ürettikleri verileri veri tasarruf hesabına aktarabilecek, bu verilere teklif veren şirketlerin ödemeleri ise doğrudan dWallet üzerinden alınarak banka hesaplarına aktarılabilecektir. Bu sistemle kullanıcılar, veri paylaşımına rıza göstermenin ötesinde, maddi kazanç da sağlayabileceklerdir.

Uygulamanın yasal dayanağı ise Brezilya Kongresi’nde görüşülmekte olan ve kişisel verileri ekonomik değeri olan bir mülkiyet türü olarak tanımlayan yasa teklifidir. Bu teklif kabul edilirse, şirketler veri toplama karşılığında kullanıcılara ödeme yapmakla yükümlü olacak ve vatandaşlar dijital varlıklarını ekonomik birer unsur olarak değerlendirebilecektir.

Pilot uygulama hakkında yayımlanan açıklamanın İngilizce metnine buradan ulaşabilirsiniz.

Bülteni pdf formatında indirmek için tıklayınız.