2024 YILINA İLİŞKİN KISA BİR DEĞERLENDİRME
Kişisel verilerin korunması hukuku açısından 2024 yılı oldukça yoğun geçmiştir. Bu nedenle, 2025 yılına ilişkin gelişmeleri değerlendirmeden önce 2024 yılında ülkemizde ve dünya gündeminde karşımıza çıkan en önemli gelişmeleri, kararları ve idari para cezalarını kısaca değerlendirmek istedik. Şöyle ki;
- 2024 yılı içerisinde ülkemizde özellikle en çok göze çarpan gelişmeler, Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya “Kanun”) güncellenmesi ve Türkiye’den yurt dışına veri aktarımına ilişkin yeni düzenlemelerin getirilmesi olmuştur. 2024 yılının ilerleyen döneminde ise yapılan bu değişikliklere ilişkin uygulama kolaylığı için Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ve yurtdışına veri aktarımının temel yapısını oluşturan Standart Sözleşmeler yayınlanmıştır.
- Kişisel Verileri Koruma Kurumu (“Kurum”) verilerine göre; 2024 senesi içerisinde 281 adet kişisel veri ihlali ve 1.345 adet Standart Sözleşme Kuruma bildirildi. Kuruma yapılan 8.186 ihbar ve şikâyet başvurusundan 6.958’i sonuçlandırılmış olup Kurum tarafından yayınlanan karar ve bildiriler sonucu 552 milyon 668 bin Türk Lirası cezai yaptırım uygulanmıştır.
- Ülkemizde meydana gelen KVKK gelişmeleri, kararları ve bildirilerin yanı sıra aynı zamanda uluslararası alanda da kişisel verilerin korunması hukukuna ilişkin dikkat çekici gelişmeler yaşanmıştır.
- Bunların en önemlisi; İrlanda Veri Koruma Otoritesi tarafından verilen dünyaca ünlü LinkedIn firmasına ilişkin karardır. Anılan kararda İrlanda Veri koruma Otoritesi, LinkedIn firmasına analiz ve reklam amacıyla kullanıcı verilerini General Data Protection Regulation (Genel Veri Koruma Yönetmeliği) (“GDPR”)’a aykırı şekilde işlediği gerekçesi ile LinkedIn’a 310 Milyon Euro para cezası verilmiş olup anılan bu karar dünyada en yüksek ilk 10 veri ihlali cezası arasında yerini almıştır.
“Kişisel Verilerin Korunması Kanunu’nda Köklü Reformlar” başlıklı yazımızda detaylıca incelediğimiz üzere, ülkemiz için 2024 yılı içerisinde KVKK ’da yeni bir dönemin başladığı açıkça görülmekte olup bu reformlar ile bu yıl da günden güne mevzuatımızın GDPR ile uyumluluğunun sağlamlaştırılacağı kanaatindeyiz.
2025 YILI KVKK GÜNDEMİ
2025 yılının ilk ayları Kişisel Verilerin Korunması Hukuku açısından oldukça yoğun geçmiş olup Kurum tarafından yayınlanan birçok karar, duyuru ve habere ilişkin değerlendirmelerimizi aşağıda kısaca açıklayacağız. Şöyle ki;
YURTDIŞINA VERİ AKTARIM REHBERİ YAYINLANDI
2025 yılının başlangıcı ile birlikte Kurum tarafından, herkes tarafından merakla beklenen “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi”’ (“Rehber”) yayımlandı. Anılan Rehber ile yurtdışına veri aktarım faaliyetleri üç ana kritere ayrılarak incelenmiş olup dikkat edilmesi gerekilen şu şekildedir;
- Veri sorumlusunun ve/veya veri aktaranın söz konusu kişisel veri faaliyetleri için Kanun’a tabi olması gerekmektedir.
- Veri aktaran tarafından işlenen kişisel veriler, iletilmeli veya erişilebilir hale getirilmelidir. (Örneğin; bir banka hesabına erişim hakkı verilmesi, şifre gönderilmesi vb.)
- Veri sorumlusu ve/veya veri aktaranın, Kanun’a tabi olup olmadığına bakılmaksızın üçüncü bir ülkede bulunması gerekmektedir.
2025 YILI KVKK PARA CEZALARI
KVKK’da belirtilen kabahatler için 2025 yılında öngörülen idari para cezaları önceki yıla oranla %43,93 oranında artış ile ;
- Aydınlatma yükümlülüğünü yerine getirmeme (KVKK m. 10) 68.083 TL- 1.362.021 TL
- Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi (KVKK m. 12) 204.285 TL- 13.620.402 TL
- Kurul kararlarının yerine getirilmemesi (KVKK m. 15) 340.476 TL- 13.620.402 TL
- Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi (KVKK m. 16) 272.380 TL- 13.620.402 TL
- Bildirim yükümlülüğünün yerine getirilmemesi (KVKK m. 9) 71.965 TL- 1.439.300 TL
olarak belirlenmiştir.
BANKACILIK SEKTÖRÜ İYİ UYGULAMALAR REHBERİ YAYIMLANDI
2025 yılında yayımlanan bir diğer rehber ise; Kurum ve Türkiye Bankalar Birliği iş birliğiyle hazırlanan ”Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi”’ güncellemesidir. Anılan güncelleme ile bankacılık sektöründe yurt dışına veri aktarımında uyulması gereken hususlar vurgulanarak, rehber KVKK m. 9’da yapılan kapsamlı değişiklikler ile uyumlu hale getirilmiş; yeterlilik kararı ve arızi aktarımlar gibi hususlara ilişkin güncellemelere yer verilmiştir.
ARABULUCUKTA AYDINLATMA YÜKÜMLÜLÜĞÜNE İLİŞKİN KAMUOYU DUYURUSU
Kurum, arabuluculuk faaliyetlerinde aydınlatma yükümlüğünün yerine getirilmesine ilişkin kamuoyu duyurusu yayınlamıştır. Duyuruda özetle; Kurum, arabulucuların KVKK’ya göre veri sorumlusu sıfatına sahip olduklarını ve veri işlenmesine dair tarafları bilgilendirme yükümlülüğü içinde olduklarını vurgulamıştır.
Bununla birlikte önemle dikkat edilmesi gerekir ki; Arabuluculuk Kanunu uyarınca arabulucunun, arabuluculuk faaliyeti başında süreç ile ilgili bilgi vermesinin KVKK madde 10’da düzenlenen aydınlatma yükümlülüğünün yerine getirildiği anlamına gelmediği vurgulanmış olup, arabulucunun KVKK hükümlerine uygun ayrıca bir aydınlatma yapması gerektiğinin altı çizilmiştir.
28 OCAK VERİ KORUMA GÜNÜ
Türkiye’nin de taraf olduğu 108 Sayılı “Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunmasına Dair Sözleşme”nin yıl dönümü olan 28 Ocak, Avrupa Konseyi tarafından Veri Koruma Günü ilan edildiği günden bu yana her yıl olduğu gibi bu yıl da ülkemizde kutlanmıştır.
YARGITAY’DAN KVKK İHLALİ GERÇEKLEŞTİREN SANIĞA HAPİS CEZASI
Yargıtay 12. Ceza Dairesi, 2017/150 E. 2017/6231 K. sayılı kararı ile; sanık hakkında, ayrılık sonrası mağdur tarafından silinmesi talep edilen fotoğrafları silmemesi ile mağdura ait kişisel veriyi mağdurun rızasına aykırı şekilde yayımlamaya devam ettiği ve bu nedenle, Türk Ceza Kanunu 136/1. maddesindeki verileri hukuka aykırı olarak verme veya ele geçirme suçunu oluşturduğu gerekçesi ile mahkumiyet kararı verilmesi gerektiğini belirtilerek, yerel mahkeme tarafından verilen beraat kararını bozmuştur.
YARGITAY’DAN KVKK İHLALİNE İLİŞKİN MANEVİ TAZMİNAT KARARI
Yargıtay 4. Hukuk Dairesi, 2019/979 E. 2019/2679 K. sayılı kararında; kimlik bilgileri izinsiz kullanılan ve imzası taklit edilerek adına telefon hattı açılan mağdurun kişisel veri kapsamındaki bilgilerinin rızası dışında kullanıldığı gerekçesi ile bu durumun mağdurun kişilik haklarına saldırı teşkil ettiğini ve uygun bir miktar manevi tazminat ödenmesi gerektiğine hükmetmiştir.
TRABZON ÜNİVERSİTESİ VERİ İHLAL BİLDİRİMİ
2025 yılının ilk ve Ocak ayının tek ihlali olan Trabzon Üniversitesi Rektörlüğü veri ihlal bildiriminden özetle; 01.01.2025 tarihinde başlayıp 06.01.2025 tarihinde tespit edilen ihlalde personel ve öğrencilere ait bazı bilgilerin siber saldırganlar tarafından internet üzerindeki yasadışı platformlarda satışa sunulduğu, ihlalden etkilenen kişisel verilerin; kimlik, doğum tarihi, anne-baba adı, iletişim ve özlük bilgileri ve lokasyon verileri olduğu belirtilmiştir. Bununla birlikte ihlalden etkilenen kayıt sayısının da 25.237 olduğu bilgisine yer verilmiştir.
ORGANİK HABERLEŞME TEKNOLOJİLERİ BİLİŞİM SANAYİ TİC. LTD. ŞİRKETİ VERİ İHLAL BİLDİRİMİ
04.02.2025 tarihinde veri sorumlusu sıfatına haiz Organik Haberleşme Teknolojileri Bilişim Sanayi Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; veri sorumlusuna Whatsapp iletişim uygulaması aracılığıyla bilinmeyen b ir kişi tarafından gelen mesaj ile ihlalin tespit edildiği, anılan mesajda veri sorumlusunun yükümlülüğünde bulunan verilerin ele geçirildiği ve karşılığında para talep edildiğinin bildirildiği, ihlalin tespit edilmesi ile ihlalin başlangıcının 01.02.2025 tarihi olduğu ve ihlale son verildiği, ayrıca ihlalden etkilenen abone ve üyelerin sayısının da 1090 olduğu belirtilmiştir.
AFYON KOCATEPE ÜNİVERSİTESİ VERİ İHLAL BİLDİRİMİ
Bildirime konu olan bu ihlalde, veri sorumlusu üniversite tarafından, veri işleyene ait “system_admin” adlı kullanıcı hesabının parolası ile uzaktan eğitim sistemi verilerine erişilmesi ile ihlalin gerçekleştiği bildirilmiştir. İhlalden etkilenen kişi sayısının ise 26438 kişi olarak beyan edildiği görülmektedir.
ASİLKAR HIZLI KARGO TAŞIMACILIK TİC. A.Ş. VERİ İHLAL BİLDİRİMİ
Şubat ayında kuruma bildirilen son veri ihlalinde özetle; yetkisiz kişiler tarafından sistem kullanıcılarının kullanıcı adı ve parola bilgileri ele geçirilerek, hizmet alınan Ajannet Bilişim Hizmetleri Sanayi Ticaret Ltd. Şti. terminal sunucularına uzak bağlantıyla kullanıcı hesaplarına erişildiği bildirilmiş olup söz konusu saldırı sonucu yalnızca dosya ismi olarak kullanılmış 16 çalışan/kullanıcının ad ve soyadı bilgisine yetkisiz erişim sağlandığı; yalnızca terminal sunucuya yetkisiz erişim gerçekleştiğinden, bu dosyalar içindeki uygulamayı kullanabilmeleri için ilave kullanıcı adı ve parola bilgisi girmeden verilere program üzerinden erişilemediği de önemle belirtilmiştir.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN REHBER YAYIMLANDI
Şubat ayının son günlerinde merakla beklenen “Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber” (“Rehber”) yayımlandı. Kanun değişikliği sonrası özel nitelikli kişisel verilerin işlenmesi ve yeni işleme şartları konusundaki soru işaretlerini gideren bu rehberde özellikle Kanun’un 6. maddesinde yapılan güncellemeler ele alınmıştır. Örneklerle desteklenen bu rehberde;
- Özel nitelikli kişisel veri işleme şartları genişletilerek netlik kazanmıştır,
- Sağlık verileri ve cinsel hayat verileri konusundaki eski kanun zamanından gelen kavram ayrımı kaldırılmıştır,
- Güncel mevzuata uygun yeni aydınlatma metinlerinin düzenlenmesi gerektiği vurgulanmıştır,
- Eski düzenlemeye göre özel nitelikli kişisel verilerden ancak ilgilinin açık rızası ile işlenebilecek olan verilerin yeni düzenleme ile mevcut olan işleme şartlarından herhangi birinin varlığı halinde ilgiliden açık rıza aranmadan işlenebileceği belirtilmiştir.
İşbu mevzuat güncellemeleri akabinde rehberin üçüncü bölümünde yeni duruma uyum sağlayabilmek adına yapılması gereken öneriler belirtilmiş olup; olası veri ihlallerine yer verilmemesi adına veri sorumluları tarafından ivedilikle güncel mevzuata uyumlu yeni aydınlatma metinleri düzenlenmesi gerektiğini önemle tavsiye ederiz.
YAPAY ZEKA ALANINDA KİŞİSEL VERİLERİN KORUNMASINA DAİR TAVSİYELERE İLİŞKİN REHBER YAYIMLANDI
Bültenimizin son başlığında, Kurum tarafından yayımlanan ve gelişen dünyamızda da oldukça dikkat çekici bir konu olan “Yapay Zeka Alanında Kişisel Verilerin Korunmasına Dair Tavsiyeler” Rehberi’nin üzerinde durmak istiyoruz. İlgili dokümanda yapay zeka uygulamalarının dünya çapında hızla artması sonucu kullanım ve uygulama sürecinde; ilgili kişilerin temel hak ve özgürlükleri ile toplumdaki insan hakları, sosyal ve etik değerlerin korunarak potansiyel risklerin en aza indirilmesi hususları vurgulanmıştır. Bununla birlikte yapay zeka uygulamaları ile etkileşime giren kişilerin, kişisel veri işleme faaliyetlerinin gerekçeleri, kişisel verilerin işlenmesinde kullanılan yöntemlerin detayları ile muhtemel sonuçları/riskleri hakkında aydınlatılması ve gerekli haller için etkili bir veri işleme onay mekanizması tasarlanması gerektiğine ilişkin tavsiyelere yer verilmiştir.
Kaynakça:
İlgili karar, duyuru ve haberlere aşağıdaki bağlantılardan ulaşabilirsiniz:
https://kvkk.gov.tr/SharedFolderServer/CMSFiles/4eba766b-7425-4cd4-97f5-cb09c4cf4ef9.pdf
https://www.enforcementtracker.com
https://www.kvkk.gov.tr/Icerik/8142/Kisisel-Verilerin-Yurt-Disina-Aktarilmasi-Rehberi
https://www.coe.int/en/web/data-protection/data-protection-day
https://www.lexpera.com.tr/ictihat/yargitay/12-ceza-dairesi-e-2017-150-k-2017-6231-t-13-9-2017
https://www.lexpera.com.tr/ictihat/yargitay/4-hukuk-dairesi-e-2019-979-k-2019-2679-t-8-5-2019
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/70f95c73-06a2-44dc-81e9-34201bdd7f5c.pdf
*Yasal Uyarı*
İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.
Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.