Veri Koruma ve Gizlilik Bülteni - Mayıs 2025

Türkiye ve Dünya’dan Güncel Haberler!

Türkiye’deki Gelişmeler

Ödeme ve Elektronik Para Sektörüne Yönelik Rehber Yayımlandı

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun” veya “KVKK”) kapsamında Kişisel Verileri Koruma Kurumu (“Kurum”) ile Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği tarafından birlikte hazırlanan “Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi” yayımlanmıştır. Rehber, ödeme hizmeti sunan kuruluşların sektör dinamiklerini KVKK hükümleriyle uyumlu hale getirebilmelerini teminen hazırlanmış olup; kimlik doğrulama, işlem geçmişi, konum bilgileri gibi yüksek riskli veri kategorilerinin işlenmesine ilişkin örnekli açıklamalar içermektedir. Müşteriyi tanıma yükümlülüğü gibi regülasyon kaynaklı süreçlerin veri koruma perspektifiyle değerlendirilmesine yönelik tespitler ve veri sorumlusu–veri işleyen ayrımına dair yönlendirmeler de Rehber’de yer almaktadır. Rehber’in, sektörde faaliyet gösteren tüm aktörler bakımından hem mevzuata uyumun hem de kullanıcı güveninin sağlanmasına katkı sunduğu değerlendirilmektedir sıkı ve merkeziyetçi bir model benimsediği değerlendirilmektedir.

Rehber’e buradan ulaşabilirsiniz.

Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler Güncellendi

Kurum tarafından ilk olarak 2023 yılında yayımlanan “Mobil Uygulamalarda Mahremiyetin Korunmasına Yönelik Tavsiyeler”, 8. Yargı Paketi kapsamında KVKK’da yapılan değişiklikler doğrultusunda güncellenmiştir. Güncel Tavsiyeler’de, mobil uygulamalar aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetlerine ilişkin riskler detaylandırılmakta; uygulama geliştiricileri, reklam ağları ve cihaz üreticileri gibi paydaşların veri sorumlusu veya veri işleyen sıfatıyla taşıdığı yükümlülükler açıklanmaktadır. Ayrıca, bireylerin uygulamaları kullanmadan önce ve kullanım sırasında dikkat etmesi gereken hususlara yer verilmekte; güçlü parola kullanımı, çok faktörlü kimlik doğrulama gibi güvenlik önlemleri önerilmektedir. Söz konusu metin, uygulama ekosistemindeki aktörler açısından mahremiyet farkındalığını artırmayı ve veri koruma önlemlerini güncel tutmayı amaçlamaktadır.

Tavsiyeler’e buradan ulaşabilirsiniz.

T.C. Kimlik Numaralarının İşlenmesine İlişkin Rehber Güncellendi

Kurum, Kanun uyarınca kişisel veri niteliğinde olan Türkiye Cumhuriyeti kimlik numaralarının işlenmesine ilişkin usul ve esasları belirlemek amacıyla 2024 yılı başında yayımladığı rehberi, Nisan 2025 itibarıyla güncellemiştir. Rehber’de, T.C. kimlik numarasının mahiyeti gereği bireylerin diğer kişisel verilerine de erişim sağlama potansiyeli taşıdığı ve bu nedenle veri işleme süreçlerinde azami dikkat gösterilmesi gerektiği belirtilmektedir. Veri sorumlularına, özellikle e-ticaret, taşımacılık, sigortacılık, elektronik haberleşme ve kamu hizmetleri gibi sektörlerde, yalnızca zorunlu hallerde T.C. kimlik numarası kullanılmasının tercih edilmesi, daha az müdahaleci alternatif yöntemlerin değerlendirilmesi ve gerekli teknik ve idari tedbirlerin alınması gerektiği hatırlatılmaktadır. Rehber, sektörel örnekler ve mevzuat atıflarıyla birlikte uygulamaya yönelik önemli bir kaynak niteliği taşımaktadır .

Rehber’e buradan ulaşabilirsiniz.

“Unutulma Hakkı” Rehberi Güncellendi

Kurum, ilk kez Ekim 2021 tarihinde yayımlanan “Unutulma Hakkının Arama Motorları Özelinde Değerlendirilmesi” başlıklı çalışmasını, Kanun değişiklikleri sonrası Nisan 2025 itibarıyla güncellemiştir. Rehber’de, bireylerin ad ve soyadları ile arama motorlarında yapılan aramalarda karşılarına çıkan içeriklerin indeksten çıkarılmasına yönelik taleplerinin hukuki dayanakları, başvuru usulleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) bu talepler karşısındaki değerlendirme ölçütleri ayrıntılı olarak açıklanmaktadır. Avrupa Birliği Adalet Divanı kararları ile Türk yargı kararlarının ışığında “unutulma hakkı”nın sınırları ve istisnaları ele alınmakta; bu hakkın mutlak değil, istisnai nitelikte olduğu vurgulanmaktadır.

Ayrıca, Kurul’un 23.06.2020 tarihli ve 2020/481 sayılı kararı doğrultusunda arama motorlarının veri sorumlusu olarak kabul edildiği belirtilmekte ve ilgili kişilerin hak arama yolları, teknik uygulama esasları ve somut değerlendirmelerde dikkate alınacak kriterler açıklanmaktadır. Rehber, arama motoru kaynaklı veri yayılımının sınırlanmasına yönelik önemli bir başvuru metni niteliği taşımaktadır.

Rehber’e buradan ulaşabilirsiniz.

Kişisel Veri Güvenliği Rehberi Güncellendi

Kurum, Ocak 2018 tarihli “Kişisel Veri Güvenliği Rehberi”ni, Kanun’da yapılan değişiklikleri takiben Nisan 2025 tarihinde güncellemiştir. Rehber’de, kişisel verilerin hukuka aykırı olarak işlenmesini veya erişilmesini önlemek ve söz konusu verilerin muhafazasını sağlamak amacıyla veri sorumluları tarafından alınması gereken teknik ve idari tedbirler ayrıntılı şekilde açıklanmaktadır. Rehber, risk analizi, erişim kontrolü, sızma testleri, şifreleme, loglama ve yedekleme gibi teknik önlemlerin yanı sıra politika oluşturulması, gizlilik taahhütnameleri ve farkındalık eğitimleri gibi idari mekanizmaların uygulanmasını da kapsamaktadır.

Rehber’e buradan ulaşabilirsiniz.

Silme, Yok Etme veya Anonim Hale Getirme Rehberi Güncellendi

İlk olarak Kasım 2017’de yayımlanan “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi”, Nisan 2025 itibarıyla Kurum tarafından güncellenmiştir. Rehber’de, kişisel verilerin işlenme amacının ortadan kalkması halinde veri sorumluları tarafından hangi yöntemlerle silinebileceği, yok edilebileceği veya anonim hale getirilebileceği açıklanmakta; her yöntemin uygulanacağı ortam ve senaryo özelinde teknik açıklamalara yer verilmektedir.

Ayrıca, anonimleştirme yöntemlerinin seçimi, uygulama örnekleri ve anonimliğin bozulması riskine karşı alınabilecek tedbirler de kapsamlı biçimde sunulmaktadır.

Rehber’e buradan ulaşabilirsiniz.

Madde ve Gerekçesi ile KVKK Bilgi Notu ile Terimler Sözlüğü Güncellendi

Kurum, Mart 2019 tarihinde yayımladığı “Madde ve Gerekçesi ile Kişisel Verilerin Korunması Kanunu (Bilgi Notu) ve Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü” kitapçığını Nisan 2025’te güncellemiştir. Çalışmada, Kanun’un her bir maddesi ve dayandığı gerekçeler, uygulamaya yönelik örnekler ve ikincil düzenlemelerle birlikte ele alınmakta, ilgililerin madde hükümlerini yorumlayabilmesine katkı sunulmaktadır. Güncellenen versiyon, özellikle son dönem mevzuat değişikliklerini içeren yapısıyla Kurum’un rehber niteliğindeki kaynakları arasında öne çıkmaktadır. Ayrıca Terimler Sözlüğü kavramların daha iyi anlaşılması ve yerinde kullanımı açısından önem kazanmaktadır.

Çalışmaya buradan ulaşabilirsiniz.

KVKK Sözlük İlk Kez Yayımlanmıştır

Kurum, 2025 yılı Nisan ayında ilk kez “Kişisel Verilerin Korunmasına İlişkin Terimler Sözlüğü” adlı çalışmasını yayımlamıştır. Sözlükte, Kanun ve ilgili ikincil mevzuat kapsamında yer alan kavramların yanı sıra Avrupa Birliği düzenlemeleri, Avrupa Veri Koruma Kurulu ve Avrupa Veri Koruma Denetçisi gibi uluslararası kaynaklardan derlenen yüz farklı kavram tanımlanmaktadır. Çalışma, veri sorumluları, uygulayıcılar ve bireyler açısından kavram birliğini sağlamayı ve terminolojik belirsizliklerin önüne geçmeyi hedeflemektedir.

Sözlük’e buradan ulaşabilirsiniz.

Kişisel Veri İşleme Envanteri Hazırlama Rehberi Güncellendi

Kurum, Nisan 2019 tarihli “Kişisel Veri İşleme Envanteri Hazırlama Rehberi”ni Mart 2025 itibarıyla güncellemiştir. Rehberde, VERBİS yükümlülüğünün yerine getirilmesi sürecinde kullanılabilecek kişisel veri envanteri hazırlama yöntemleri ile veri sorumlularına örnek teşkil edecek 46 satırlık faaliyet listesi sunulmaktadır.

Özellikle insan kaynakları, muhasebe, destek hizmetleri ve bilgi işlem gibi organizasyonel birimlerin envanter girişlerine ilişkin örneklemeler rehberin uygulama yönünü güçlendirmektedir. Rehber’in ekinde Kişisel Veri İşleme Envanteri Örneği yer almıştır.

Rehber’e buradan ulaşabilirsiniz.

Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi Güncellendi

Kurum, Kanun’da yapılan değişiklikleri takiben “Aydınlatma Yükümlülüğünün Yerine Getirilmesi Rehberi”ni Mart 2025 tarihi itibarıyla güncellemiştir. Rehber’de, veri sorumlularının ilgili kişilere karşı aydınlatma yükümlülüğünü hangi içerikte ve ne şekilde yerine getirmesi gerektiği açıklanmakta; aydınlatma metinlerinin içeriği, sunulma şekli, zamanlaması ve çok katmanlı bildirim teknikleri örneklerle birlikte aktarılmaktadır. Rehber, uygulamada en sık karşılaşılan aydınlatma sorunlarının önüne geçilmesini ve şeffaflık ilkesinin pekiştirilmesini amaçlamaktadır.

Rehber’e buradan ulaşabilirsiniz.

Kurum, 2024 Yılına İlişkin Faaliyet Raporunu Yayımladı

Kurum, 2024 yılına ilişkin faaliyet raporunu kamuoyuyla paylaşmıştır. Rapor’da Kurum’un 2024–2028 Stratejik Planı çerçevesinde yürüttüğü faaliyetler, düzenlediği etkinlikler ve verdiği idari yaptırımlara ilişkin güncel verilere yer verilmektedir. 2024 yılı içerisinde Kurum’a toplam 8.275 başvuru ulaşmış olup bu başvurular neticesinde 862 veri sorumlusu hakkında toplam 552.188.101 TL idari para cezası uygulanmıştır. En fazla başvuru; kişisel verilerin veri sorumlusu tarafından hukuka aykırı olarak işlenmesi nedeniyle yapılmıştır. Başvuruların sektörel dağılımında hizmet, medya ve telekomünikasyon sektörleri ön plana çıkmaktadır. Ayrıca, yurtdışına veri aktarımı kapsamında yapılan taahhütname başvurularının yalnızca 10’una izin verilmiş, 76’sı reddedilmiş olup bu durum, Kurum’un aktarım süreçlerine ilişkin değerlendirmelerinde sıkı bir denetim mekanizması benimsediğini göstermektedir

Adidas ve Christian Dior’dan Veri İhlali Bildirimleri Yapılmıştır

Kurum, Mayıs 2025 itibarıyla Adidas Spor Malzemeleri Satış ve Pazarlama A.Ş. ile Christian Dior Couture S.A. tarafından iletilen veri ihlali bildirimlerini yayımlamıştır. Adidas tarafından yapılan bildirime göre, 17 Mayıs 2025 tarihinde bir siber güvenlik olayı kapsamında üçüncü bir şahsın müşteri verilerine sahip olduğunu iddia etmesi üzerine başlatılan inceleme sonucunda 544.395 kişinin etkilendiği ve ad, e-posta, telefon numarası gibi verilerin sızdırılmış olabileceği tespit edilmiştir.

Christian Dior tarafından yapılan bildirimde ise, CRM veritabanına yetkisiz erişim sağlandığı, dışarı aktarılan müşteri verileri üzerinden fidye talep edildiği, erişimin engellenmiş olmasına rağmen verilerin kötüye kullanılma veya ifşa edilme riskinin sürdüğü belirtilmiştir.

Dünyadaki Gelişmeler

Avrupa Veri Koruma Kurulu Blokzincir Rehberini Görüşe Açtı

Avrupa Veri Koruma Kurulu (EDPB), blokzincir teknolojileri yoluyla kişisel veri işlenmesine dair hazırladığı rehber taslağını kamuoyunun görüşüne sunmuştur.

Rehber, ilgili hakların korunması ve veri işleme aktörlerine yönelik tavsiyeleri içermektedir.

ICO’dan Şifreleme Rehberi Taslağı

Birleşik Krallık veri koruma otoritesi ICO, şifreleme yöntemlerine ilişkin teknik detaylar içeren güncellenmiş rehber taslağını yayımlayarak 24 Haziran 2025’e kadar geri bildirim çağrısında bulunmuştur.

CNIL’den Veri Tabanlarının Hukuka Uygun Kullanımına Yönelik Yönerge

Fransa’nın veri koruma kurumu CNIL, veri tabanlarının oluşturulması, paylaşılması ve yeniden kullanımı süreçlerinde hukuka uygunluk kriterlerini açıklayan yeni bir yönerge yayımlamıştır. Yönergede, kaynakların belirtilmesi, verilerin yeterli düzeyde belgelenmesi ve hassas veri içeriğinin sınırlanması gerektiği belirtilmektedir.

İrlanda DPC, Meta’nın Yapay Zekâ Eğitimine Yönelik Süreçlerini İnceledi

İrlanda Veri Koruma Otoritesi (Data Protection Commission – DPC), Meta’nın yapay zekâ modellerini eğitmek amacıyla gerçekleştirdiği kişisel veri işleme faaliyetlerini mercek altına almış ve bu süreçlerin GDPR ile uyumluluğunu sağlamak amacıyla gerçekleştirdiği denetimin ayrıntılarını yayımlamıştır.

Denetimde, özellikle veri işleme amaçlarının belirginliği ve şeffaflık yükümlülüklerinin yerine getirilip getirilmediği değerlendirilmiştir.

IAPP, 2025 AI Yönetişim Mesleği Raporuna İlişkin Görselleştirme Yayımladı

Uluslararası Gizlilik Profesyonelleri Birliği (IAPP), yapay zekâ yönetişimi alanında çalışan uzmanların sorumlulukları, unvanları ve organizasyonel konumları gibi verileri içeren “2025 AI Governance Professional Report” başlıklı çalışmasını infografik formatında yayımlamıştır. Rapor, mesleğin gelişen kapsamını görsel olarak sunmayı amaçlamaktadır.

Garante’den Replika’ya 5 Milyon Euro Ceza

Garante (İtalyan Veri Koruma Otoritesi), yapay zekâ tabanlı sohbet robotu Replika’nın kullanıcı verilerini hukuki dayanak olmaksızın işlemesi ve çocuklara karşı özel bir yaş doğrulama sistemi sunmaması nedeniyle şirkete 5 milyon Euro para cezası vermiştir. Ayrıca, üretken yapay zekâ eğitim sürecine ilişkin yeni bir soruşturma başlatıldığını duyurmuştur.DSA Kapsamında Çocukların Korunmasına Yönelik Rehber Taslağı Açıklandı

Avrupa Komisyonu, Dijital Hizmetler Tüzüğü (DSA) kapsamında çocukların çevrim içi korunmasına dair hazırlanan taslak rehberi kamuoyunun görüşüne açmıştır.

Rehberde; yaşa uygun hizmet sunumu, profillemeye dayalı reklam yasağı, risk temelli yaklaşım ve şeffaf yönetişim ilkeleri yer almaktadır. Görüş bildirme süresi 10 Haziran 2025’te sona erecektir.

Deepfake Tehdidine Karşı Çocukların Korunmasına Yönelik Uyarılar

İngiltere’de yapılan bir çalışmada, yalnızca 20 görselin çocukların deepfake üretiminde taklit edilmesi için yeterli olduğu belirtilmiş; çocuklara ait fotoğrafların sosyal medyada aşırı paylaşımının kimlik hırsızlığı ve istismara yol açabileceği vurgulanmıştır. Ebeveynlere güçlü parola kullanımı, çevrim içi mahremiyet farkındalığı ve filtreleme teknolojileri konusunda bilgilendirme önerilmektedir.

Tsinghua Üniversitesi’nden Dünyanın İlk AI Hastanesi: Agent Hospital

Çin’de Tsinghua Üniversitesi AIR Enstitüsü tarafından geliştirilen “Agent Hospital” adlı sanal yapay zekâ hastanesi kamuoyuna tanıtılmıştır. 21 branşta çalışan 42 AI destekli doktorun yönettiği sistemde, tanıdan takibe kadar tüm klinik döngü simüle edilmektedir. İlk haftasında 10.000 sanal hasta değerlendirilmiş ve %93,06 doğruluk oranı bildirilmiştir.