Kişisel Verilerin Korunması Hakkında Bülten Aralık 2025

Yorum bırakın / KVKK Bültenleri / Yazan

Av. Nil Merve Çelikbaş Şeker, L.LM.

2025 yılının son günlerinde, kişisel verilerin korunması alanında Kişisel Verileri Koruma Kurumu (“Kurum”) ve yüksek yargı organları tarafından uygulamayı doğrudan etkileyen çok sayıda ilke kararı, rehber, yargı kararı ve mevzuat değişikliği kamuoyuna yansımıştır. Özellikle çocuklara ait kişisel verilerin korunması, özel nitelikli kişisel verilerin işlenmesi, biyometrik veriler, yapay zekâ kullanımı, yurt dışına veri aktarımı, kamera ve gözetim uygulamaları, iş ilişkilerinde veri işleme sınırları ile idari para cezalarına ilişkin güncel tutarlar, 2026 yılına girilmeden önce veri sorumluları bakımından yeniden değerlendirilmesi gereken başlıca başlıklar olarak öne çıkmaktadır.

Bu bültende; Kurum uygulamaları, Anayasa Mahkemesi, Danıştay ve Yargıtay kararları ile uluslararası veri koruma otoritelerinin güncel yaklaşımları birlikte ele alınarak, veri sorumluları ve uygulayıcılar açısından dikkat edilmesi gereken gelişmelere yer verilmiştir.

Bu kapsamda Kişisel Verilerin Korunması Hakkında Bültenimizin ilgili sayısında;

  • Özel Nitelikli Kişisel Veri İşleyen Veri Sorumluları İçin VERBİS İstisnası Genişletildi
  • MİT Koordinesinde Yasa Dışı Sorgu Sistemlerine Yönelik Siber Casusluk Operasyonu
  • “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi” Yayımlandı
  • Daire Girişini Görecek Şekilde Kamera Yerleştirilmesi Özel Hayatın Gizliliğini İhlal Sayıldı
  • Danıştay’dan Parmak İziyle Mesai Takibine İlişkin Önemli Karar
  • Kişisel Verilerin Korunması Alanında Kurulun İdari Yaptırım ve Uygulama Verileri
  • Siber Güvenlik Farkındalığına İlişkin Kurumdan Hatırlatma
  • Face ID Güvenlik Zafiyetinin Ayıplı Mal Kapsamında Değerlendirilmesine İlişkin Yargıtay Kararı
  • Otellerde Kimlik Fotokopisi Alınmasına İlişkin İlke Kararı
  • 2026 Yılı KVKK İdari Para Cezaları Kesinleşti
  • Kişisel Verilerin Yurt Dışına Aktarımına İlişkin İlk Kurul İzni
  • Kişisel Sağlık Verileri Yönetmeliğinde Önemli Değişiklikler
  • Yargıtay’ın Kişisel Veriler ve Özel Hayata İlişkin Güncel Kararları
  • Mahkemeden Yapay Zekâ Kullanımına Açık ve Sınırlı Yaklaşım
  • Anayasa Mahkemesi’nden Avukatlara KVKK Cezaları Bakımından Önemli Gerekçeli Karar Vurgusu
  • Veri İhlal Bildirimleri
  • Dünyadan Gelişmeler

başlıklarını özetle ele alacağız.

Keyifli okumalar dileriz.

ÖZEL NİTELİKLİ KİŞİSEL VERİ İŞLEYEN VERİ SORUMLULARI İÇİN VERBİS İSTİSNASI GENİŞLETİLDİ

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Resmî Gazete’de yayımlanan karar ile, ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının Sicile kayıt yükümlülüğüne ilişkin istisna kriterleri yeniden değerlendirilmiştir. Buna göre, ana faaliyet konusu özel nitelikli kişisel veri işlemesi olmakla birlikte yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon Türk Lirasından az olan gerçek veya tüzel kişi veri sorumlularının da VERBİS’e kayıt ve bildirim yükümlülüğünden istisna tutulmalarına karar verilmiştir.

Kararda; mikro işletme niteliğindeki veri sorumlularının sınırlı personel ve mali imkânlara sahip olduğu, görece daha az sayıda kişisel veri işledikleri ve bu nedenle Sicile kayıt yükümlülüğünün çalışan sayısı ve mali bilanço kriterleri esas alınarak değerlendirilmesinin gerekli olduğu vurgulanmıştır. Bu kapsamda, söz konusu şartları sağlayan klinikler, eczaneler ve sağlık hizmeti sunan hekimler bakımından VERBİS yükümlülüğü kaldırılmıştır.

MİT Koordinesinde Yasa Dışı Sorgu Sistemlerine Yönelik Siber Casusluk Operasyonu

Milli İstihbarat Teşkilatı (MİT) koordinesinde; Jandarma Genel Komutanlığı, Ulusal Siber Olaylara Müdahale Merkezi (USOM) ve Mali Suçları Araştırma Kurulu (MASAK) iş birliğiyle, Türkiye Cumhuriyeti vatandaşlarının kişisel verilerini hedef alan yasa dışı sorgu sistemlerine yönelik kapsamlı bir siber operasyon gerçekleştirilmiştir. Ankara Cumhuriyet Başsavcılığı tarafından yürütülen soruşturma kapsamında, kişisel verilere hukuka aykırı şekilde erişim sağlayan şüpheliler hakkında gözaltı kararı verilmiş; farklı illerde eş zamanlı icra edilen operasyonlarda yasa dışı sorgu panellerinin yöneticileri ve geliştiricileri yakalanmıştır. Teknik ve mali incelemeler sonucunda, hukuka aykırı şekilde elde edilen kişisel verilerin yurt dışına aktarıldığı ve siber casusluk faaliyetlerinde kullanıldığı tespit edilmiş; çok sayıda internet sitesi ile dijital iletişim kanalı erişime kapatılmıştır. Bu gelişme, kişisel verilerin korunmasına yönelik kamu otoritelerinin koordineli ve kararlı mücadelesinin güncel bir yansıması niteliğindedir.

“Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi” Yayımlandı

Kurum tarafından yayımlanan Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi ile, üretken yapay zekâ sistemlerinde kişisel verilerin hukuka uygun şekilde işlenmesine ilişkin temel ilke ve yükümlülükler ortaya konulmuştur. Rehberde; veri işleme şartları, kişisel verilerin yurt dışına aktarımı, ilgili kişi haklarının kullanımı ve veri sorumlularının sorumlulukları gibi hususlar, uygulamaya yön verecek şekilde 15 temel soru çerçevesinde ele alınmaktadır.

Daire Girişini Görecek Şekilde Kamera Yerleştirilmesi Özel Hayatın Gizliliğini İhlal Sayıldı

Yargıtay 12. Ceza Dairesi, bir apartman yöneticisinin, bir dairenin giriş kapısını doğrudan görecek şekilde yerleştirdiği ve kayıt alan güvenlik kamerası nedeniyle Türk Ceza Kanunu’nun 134. maddesi kapsamında “özel hayatın gizliliğini ihlal” suçundan verilen 2 yıl 6 ay hapis cezasını hukuka uygun bularak onamıştır. Kararda, apartman yöneticisinin görevinden kaynaklanan yetkilerini aşarak konuta giren kişilerin görüntülerini kayıt altına almasının, özel hayatın korunması hakkını ihlal ettiği vurgulanmış; suç kastının bulunmadığı yönündeki savunmalar yerinde görülmemiştir.

Danıştay’dan Parmak İziyle Mesai Takibine İlişkin Önemli Karar

Danıştay 12. Dairesi, çalışanların işe giriş ve çıkışlarının parmak izi okuyucu sistemleri ile denetlenmesini, kişisel verilerin korunması hakkı kapsamında hukuka aykırı bulmuştur. Kararda; parmak izinin 6698 sayılı Kanun uyarınca özel nitelikli kişisel veri olduğu, bu tür verilerin işlenebilmesi için açık bir yasal dayanak veya ilgili kişinin açık rızasının bulunması gerektiği vurgulanmıştır. Ayrıca, kart veya şifre gibi daha az müdahale içeren yöntemler mevcutken biyometrik veri işlenmesinin ölçülülük ilkesine aykırı olduğu belirtilmiştir. Bu gerekçelerle Danıştay, parmak iziyle mesai takibini iptal eden idare mahkemesi kararını onamıştır (Danıştay 12. D., E. 2018/4535 K. 2022/633; E. 2023/1904 K. 2023/6074).

KİŞİSEL VERİLERİN KORUNMASI ALANINDA KURULUN İDARİ YAPTIRIM VE UYGULAMA VERİLERİ

Kurulun faaliyete başladığı 2017 yılından bu yana yürüttüğü inceleme ve denetimler sonucunda, veri sorumluları hakkında toplam 1 milyar 265 milyon TL idari para cezası uygulanmıştır. Bu süreçte Kurula yapılan 56.896 ihbar ve şikâyet başvurusunun 54.793’ü sonuçlandırılmış, bildirilen 1.872 veri ihlalinin 383’ü kamuoyuyla paylaşılmıştır. Yurt dışına kişisel veri aktarımı kapsamında 3.000’i aşkın standart sözleşme Kurula bildirilmiş ve 13 taahhütname onaylanmıştır. Ayrıca Kurul, uygulamaya yön vermek amacıyla 1.336 hukuki görüş, 332 karar ve 9 ilke kararı yayımlayarak kişisel verilerin korunması alanında önemli bir içtihat ve rehberlik pratiği oluşturmuştur.

Siber Güvenlik Farkındalığına İlişkin Kurumdan Hatırlatma

Ekim ayının “Siber Güvenlik Farkındalık Ayı” olması dolayısıyla Kurum tarafından yapılan açıklamada, kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasında siber farkındalığın kritik önemde olduğu vurgulanmıştır. Bu kapsamda; güçlü ve benzersiz parolalar ile çok faktörlü kimlik doğrulama kullanılması, toplu e-posta gönderimlerinde alıcı gizliliğine dikkat edilmesi, oltalama saldırılarına karşı çalışanların bilinçlendirilmesi, güvenlik yazılımlarının güncel tutulması ve erişim yetkilerinin görevle sınırlı şekilde tanımlanması gerektiği belirtilmiştir. Ayrıca, ekran kilidi kullanımı, çevrim içi toplantılarda ekran paylaşımı önlemleri ve kişisel verilerin yalnızca gerekli süre boyunca saklanması hususları da veri güvenliğinin ayrılmaz unsurları olarak hatırlatılmıştır.

Face ID Güvenlik Zafiyetinin Ayıplı Mal Kapsamında Değerlendirilmesine İlişkin Yargıtay Kararı

Yargıtay 3. Hukuk Dairesi’nin 16.04.2025 tarihli ve E. 2024/2803, K. 2025/2178 sayılı kararında; IPhone marka bir cep telefonunda yer alan Face ID (yüz tanıma) sisteminin, davacının yüzünü kardeşiyle karıştırarak kilidi açabilmesi nedeniyle ortaya çıkan güvenlik açığı ayıplı mal kapsamında değerlendirilmiştir. İlk derece mahkemesince, bu durumun davacının kişilik haklarını zedelediği kabul edilerek 5.000 TL manevi tazminata hükmedilmiş; Bölge Adliye Mahkemesi kararı da istinaf aşamasında yerinde bulunmuştur. Yargıtay, hükmedilen manevi tazminat miktarının dosya kapsamı ve olayın özellikleriyle uyumlu olduğu gerekçesiyle temyiz itirazlarını reddederek kararı onamıştır. Bu karar, biyometrik doğrulama sistemlerindeki güvenlik zafiyetlerinin tüketici hukuku ve kişilik hakları bakımından doğurabileceği sonuçlara dikkat çekmesi bakımından önem taşımaktadır.

Otellerde Kimlik Fotokopisi Alınmasına İlişkin İlke Kararı

Kurul tarafından yayımlanan ilke kararı ile, konaklama tesislerinde hizmet sunumu kapsamında misafirlerden kimlik fotokopisi alınmasının hukuka aykırı olduğu açıkça ortaya konulmuştur. Kurul; konaklama tesislerinin, ilgili mevzuat uyarınca kimlik bilgilerini kontrol etme ve belirli bilgileri kaydetme yükümlülüğü bulunduğunu, ancak bu yükümlülüğün kimlik belgesinin fotokopisinin alınmasını kapsamadığını vurgulamıştır.

Kararda; kimlik fotokopisi alınmasının gereğinden fazla veri işleme niteliği taşıdığı, açık bir kanuni dayanağının bulunmadığı ve özel nitelikli kişisel verilerin gereksiz şekilde işlenmesine yol açtığı belirtilmiştir. Bu çerçevede, konaklama tesislerinin kimlik fotokopisi talep etmemesi, daha önce alınmış fotokopilerin imha edilmesi ve kimlik bilgilerinin yalnızca mevzuatın izin verdiği ölçüde kaydedilmesi gerektiği ifade edilmiş; aksi uygulamaların idari yaptırımlara konu olacağı hatırlatılmıştır.

2026 Yılı KVKK İdari Para Cezaları Kesinleşti

213 sayılı Vergi Usul Kanunu uyarınca belirlenen %25,49 yeniden değerleme oranı, 27.11.2025 tarihli Resmî Gazete’de yayımlanan Tebliğ ile kesinleşmiş; buna bağlı olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 18. maddesinde öngörülen idari para cezaları 2026 yılı için güncellenmiştir.

Bu kapsamda; aydınlatma yükümlülüğüne aykırılıktan 85.437 TL – 1.709.200 TL, veri güvenliğine ilişkin yükümlülüklerin ihlalinden 256.357 TL – 17.092.242 TL, Kurul kararlarına aykırılıktan 427.263 TL – 17.092.242 TL, VERBİS yükümlülüğüne aykırılıktan 341.809 TL – 17.092.242 TL ve yurt dışına veri aktarımına ilişkin standart sözleşme bildirim yükümlülüğünün yerine getirilmemesinden 90.308 TL – 1.806.377 TL arasında idari para cezası uygulanabilecektir.

Kişisel Verilerin Yurt Dışına Aktarımına İlişkin İlk Kurul İzni

Kurul, 6698 sayılı Kanun’da 2024 yılında yapılan değişikliklerle getirilen yeni yurt dışına veri aktarımı rejimi kapsamında ilk izin kararını vermiştir. Bu çerçevede, İçişleri Bakanlığı Göç İdaresi Başkanlığı ile Birleşmiş Milletler Mülteciler Yüksek Komiserliği (UNHCR) arasında imzalanan ve uluslararası sözleşme niteliğinde olmayan anlaşma, KVKK m. 9/4-(a) ile Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik m. 11 uyarınca değerlendirilmiş ve 21.10.2025 tarihinde uygun bulunmuştur.

Söz konusu karar, Kurul’un yeni yurt dışı veri aktarım mekanizmalarını somut olayda ilk kez uygulaması bakımından önem taşımakta; özellikle kamu kurumlarının uluslararası kuruluşlarla gerçekleştireceği veri paylaşımlarına ilişkin emsal nitelikte bir içtihat oluşturmaktadır.

Kişisel Sağlık Verileri Yönetmeliğinde Önemli Değişiklikler

Kişisel Sağlık Verileri Hakkında Yönetmelikte yapılan değişiklikler ile kişisel sağlık verilerinin işlenmesi ve erişimine ilişkin usul ve esaslar, 6698 sayılı Kanun’un 6. maddesindeki işleme şartlarıyla daha sıkı şekilde ilişkilendirilmiştir. Bu kapsamda;

  • Avukatların müvekkillerine ait sağlık verilerine erişimini düzenleyen 10. madde yürürlükten kaldırılmış, erişim koşullarının KVKK ve ilgili mevzuat çerçevesinde yeniden değerlendirilmesi öngörülmüştür.
  • Sağlık personelinin sağlık verilerine erişimi, KVKK m.6/3 ile sınırlanmış; erişim süreleri açık ve net şekilde tanımlanmıştır.
  • Acil servis başvurularında, ilgili hekimlere yalnızca sunulan sağlık hizmetiyle sınırlı olmak kaydıyla daha geniş erişim imkânı tanınmıştır.
  • e-Nabız güvenlik ayarları güncellenmiş, tutuklu ve hükümlüler bakımından kod ile doğrulama şartı kaldırılmıştır.
  • Çocuklara ait sağlık verilerine erişimde, velayet ve mahkeme tedbir kararları esas alınmış; velayeti bulunmayan ebeveyne yalnızca filtrelenmiş ve sınırlı veri paylaşımı öngörülmüştür.
  • Engelli raporu bulunan kişilerin sağlık verilerine, bakım veren kişiler tarafından erişim imkânı getirilmiştir.
  • Vefat eden kişilere ait sağlık verilerinin saklama süresi, 20 yıldan 30 yıla çıkarılmıştır.

Yargıtay’ın Kişisel Veriler ve Özel Hayata İlişkin Güncel Kararları

İlk kararda, Yargıtay 12. Hukuk Dairesi, icra takibi kapsamında borçluya ait olup sonradan devredilen taşınmazların araştırılmasına yönelik talebin reddini hukuka uygun bulmuştur. Kararda, icra dairelerinin üçüncü kişilere ait malvarlığı bilgilerini toplamaya yönelik bir yükümlülüğü bulunmadığı, malvarlığı bilgilerinin kişisel veri niteliği taşıdığı ve KVKK’nın 28/1-d maddesinin geniş yorumlanarak kişisel verilerin korunması hakkının daraltılamayacağı vurgulanmıştır. Avukatın, Avukatlık Kanunu’ndan kaynaklanan yetkileri çerçevesinde bu bilgileri kendisinin temin edebileceği belirtilerek istinaf kararının onanmasına karar verilmiştir.

Bir diğer kararda, Yargıtay 12. Ceza Dairesi, bir kişiye ait cep telefonu numarasının ilgili kişinin bilgisi ve rızası olmaksızın üçüncü kişilerle paylaşılmasının TCK’nın 136/1 maddesi kapsamında suç oluşturduğunu kabul etmiştir. Somut olayda, sanığın kendisine ait olmayan bir telefon numarasını izin almaksızın başkasına vermesi, kişisel verilerin hukuka aykırı olarak verilmesi olarak değerlendirilmiş; yerel mahkemenin mahkûmiyet kararı Yargıtay tarafından onanmıştır.

Bir başka kararda, Yargıtay 12. Ceza Dairesi, sosyal medyada herkese açık bir profilde yer alan fotoğrafın dahi, ilgili kişinin rızası olmaksızın alınarak başka bir hesapta paylaşılmasını kişisel verilerin hukuka aykırı olarak ele geçirilmesi ve yayılması kapsamında değerlendirmiştir. İlk derece mahkemesinin beraat kararına rağmen, istinaf ve temyiz aşamalarında, fotoğrafın herkese açık olması tek başına hukuka uygunluk sebebi sayılmamış; eylemin TCK 136/1 kapsamında suç oluşturduğu kabul edilerek verilen hapis cezası onanmıştır.

Son olarak, Yargıtay 12. Ceza Dairesi, düğün fotoğraflarının, fotoğrafçının iş yerinde çiftin rızası olmaksızın müşterilere gösterilmesini kişisel verilerin hukuka aykırı şekilde üçüncü kişilere aktarılması olarak nitelendirmiştir. Düğün fotoğraflarının kişisel veri niteliğinde olduğu vurgulanmış; özel hayatın gizliliği ve kişisel verilerin korunması ilkeleri çerçevesinde, fotoğrafların teşhir edilmesinin hukuka aykırı olduğu kabul edilerek fotoğrafçı hakkında verilen 1 yıl 8 ay hapis cezası oy birliğiyle onanmıştır.

Mahkemeden Yapay Zekâ Kullanımına Açık ve Sınırlı Yaklaşım

İstanbul 14. Asliye Ticaret Mahkemesi, 15.05.2025 tarihli gerekçeli kararında (E. 2023/856, K. 2025/415), yargılama sürecinde yapay zekâdan nasıl yararlanıldığını ayrıntılı ve şeffaf biçimde ortaya koydu.

Kararda; yapay zekânın, davaya dayanak yabancı (Hollanda) yargı kararlarının teyidi, yabancı hukuk kaynaklarına erişim ve Hollandaca hukuki metinlerin Türkçe’ye çevrilmesi amacıyla yalnızca teknik bir araştırma aracı olarak kullanıldığı belirtildi. Bu kullanımın, usul hukuku ilkeleri ile Kamu Görevlileri Etik Kurulu’nun “Yapay Zekâ Sistemlerinin Kullanımında Etik Davranış İlkeleri”ne uygun olduğu vurgulandı.

Mahkeme, teknolojik araçlardan yararlanılmasının makul sürede yargılanma hakkı kapsamında meşru olduğunu; ancak yapay zekâ çıktılarının doğrudan hükme esas alınmadığını, tüm bilgilerin hâkim tarafından ayrıca doğrulandığını açıkça ifade etti. Olası çeviri hatalarının kanun yolu denetimine konu edilebileceği de özellikle belirtildi.

Gerekçeli kararda ayrıca; şeffaflık, hesap verebilirlik, gizlilik ve kişisel verilerin korunması ilkelerine riayet edildiği, yapay zekânın hiçbir aşamada karar verici konumda kullanılmadığı, hukuki yorumun, delil değerlendirmesinin ve nihai kararın tamamen hâkimin sorumluluğunda olduğu net biçimde ortaya konuldu.

Anayasa Mahkemesi’nden Avukatlara KVKK Cezaları Bakımından Önemli Gerekçeli Karar Vurgusu

Anayasa Mahkemesi, bir avukata KVKK kapsamında verilen idari para cezasına karşı açılan davada gerekçeli karar hakkının ihlal edildiğine karar verdi.

İcra dosyası kapsamında borçlunun oğluna 4 adet SMS gönderilmesi üzerine Kurum tarafından yapılan incelemede, telefon numarasının hukuka uygun işleme şartlarına dayanmadığı gerekçesiyle avukata 50.000 TL idari para cezası uygulanıyor. Avukat, görüşme tutanağında açık rıza bulunduğunu ancak pandemi koşulları nedeniyle belgeyi Kuruma sunamadığını, buna karşılık mahkemeye ibraz ettiğini belirterek cezaya itiraz ediyor.

Sulh Ceza Hakimliği, yaptırımın esasını hukuka uygun bulmakla birlikte, alt sınırdan uzaklaşmaya ilişkin gerekçe gösterilmediği gerekçesiyle ceza tutarını 27.037 TL’ye indiriyor. Tarafların itirazları kesin olarak reddediliyor ve dosya AYM’ye taşınıyor.

Anayasa Mahkemesi, başvurucunun sonuca etkili iddia ve delillerinin hiçbir aşamada gerekçeli biçimde değerlendirilmediğini, itirazların soyut şekilde reddedildiğini tespit ederek gerekçeli karar hakkının ihlal edildiğine hükmediyor.

Bu karar, KVKK idari yaptırımlarında yalnızca cezanın sonucu değil, yargısal denetimde gerekçenin niteliğinin de anayasal güvence altında olduğunu bir kez daha ortaya koyuyor.

VERİ İHLAL BİLDİRİMLERİ

İlk ihlalde, İstanbul Golf İhtisas Spor Kulübü’nün sisteminde 15.10.2025 tarihinde fidye yazılımı girişimi tespit edilmiş; üyelerin kimlik, iletişim, adres ve özlük verilerinin etkilenmiş olabileceği, etkilenen kişi sayısının ise henüz belirlenemediği açıklanmıştır.

Bir diğer ihlalde, Beyçelik Holding A.Ş. ve grup şirketlerinin sunucularına 04.12.2025 tarihinde fidye yazılımı yüklenmiş; etkilenen kişi grupları ve veri kategorileri bakımından incelemelerin devam ettiği bildirilmiştir.

Devam eden bir başka vakada, Dem İlaç Sanayi ve Ticaret A.Ş.’nin 07.12.2025 tarihinde fidye yazılımı saldırısına uğradığı, yaklaşık 1 TB veri ele geçirildiği iddiası bulunduğu ve çalışanlar ile müşterilere ait çok sayıda veri kategorisinin risk altında olabileceği belirtilmiştir.

Benzer şekilde, Sinch AB nezdinde 28–30.08.2025 tarihleri arasında gerçekleşen siber saldırıda 716 kullanıcının kimlik, iletişim ve sınırlı finansal verilerinin etkilendiği açıklanmıştır.

Bir başka ihlalde, Balıkesir Uludağ Turizm Taş. İnş. Tic. Ltd. Şti.’nin portal sistemine kaba kuvvet saldırısıyla yetkisiz erişim sağlandığı; çalışanlar, üyeler ve müşterilere ait kimlik ve iletişim verilerinin ele geçirilmiş olabileceği ifade edilmiştir.

Devamında, DMR Otomotiv Kiralama Sanayi ve Ticaret Ltd. Şti.’nin, grup şirketi Dem İlaç nezdinde gerçekleşen fidye yazılımı saldırısından etkilendiği ve kapsamlı veri kategorileri bakımından risk oluştuğu bildirilmiştir.

Bir diğer önemli ihlalde, Mango T.R. Tekstil Tic. Ltd. Şti.’nin e-posta pazarlama sistemine ait yönetici bilgilerinin sızdırılması sonucu, Mango Türkiye’de 4.349.620 müşterinin iletişim ve lokasyon verilerinin etkilendiği açıklanmıştır.

Ayrıca, Pharmada İlaç Sanayi ve Ticaret A.Ş.’nin de Dem İlaç kaynaklı fidye yazılımı saldırısından etkilendiği ve çok sayıda kişisel veri kategorisi bakımından incelemelerin sürdüğü duyurulmuştur.

Bir başka vakada, Cleverbridge GmbH’nin müşteri veri tabanına API üzerinden yetkisiz erişim sağlanmış; 1.235 müşterinin kimlik, iletişim ve ödeme verilerinin etkilendiği bildirilmiştir.

Son ihlalde ise, Haydigiy E-Ticaret Tekstil Sanayi ve Ticaret Ltd. Şti.’nde bir yönetici hesabının ele geçirilmesiyle müşteri ve üyelere ait iletişim, lokasyon ve finans verilerinin etkilenmiş olabileceği, etkilenen kişi sayısının henüz netleşmediği açıklanmıştır.

DÜNYADAN GELİŞMELER

İlk olarak, Fransa’da Apple’ın iPhone’larda “kişiselleştirilmiş reklamlar” ayarını varsayılan olarak açık tutması nedeniyle verilen 8 milyon euro idari para cezası mahkeme tarafından onandı. Mahkeme, ayarın kapatılmasının zor olması nedeniyle geçerli rıza bulunmadığını kabul etti.

Bir diğer kararda, İspanya veri koruma otoritesi, bir öğrencinin fotoğrafını veli izni olmaksızın posterlerde kullanan okula 10.000 euro ceza verdi. Genel iletişim izninin bu tür bir kullanım için yeterli olmadığı vurgulandı.

Ayrıca, ABD’de Google, Teksas’ta sonuçlanan 1,4 milyar dolarlık gizlilik anlaşması kapsamında 190 milyon dolar avukatlık ücreti ödeyeceğini açıkladı. Dava, konum takibi ve biyometrik veri toplama iddialarına dayanıyordu.

Bir diğer gelişmede, Belçika veri koruma otoritesi, eski işverenin aday hakkında rıza olmaksızın telefonla bilgi paylaşmasını GDPR’a aykırı buldu. Sözlü aktarımın da kişisel veri işleme olduğu açıkça belirtildi.

Bunun yanında, Avrupa Veri Koruma Kurulu (EDPB), e-ticarette kullanıcıların hesap oluşturmaya zorlanmasının kural olarak hukuka aykırı olduğunu belirten 2/2025 sayılı Tavsiye Kararı’nı yayımladı. Varsayılan seçeneğin misafir satın alma olması gerektiği ifade edildi.

Son olarak, İtalya veri koruma otoritesi, çocukların hassas anlarını içeren fotoğrafları yayımlayan bir kreşe 10.000 euro ceza verdi. Ebeveyn rızasının, çocuğun üstün yararına aykırı kullanılamayacağı özellikle vurgulandı.

Kaynakça:

İlgili karar, duyuru ve haberlere aşağıdaki bağlantılardan ulaşabilirsiniz:

https://www.resmigazete.gov.tr/eskiler/2025/10/20251001-4.pdf

https://www.hurriyet.com.tr/gundem/mitten-operasyon-kisisel-verileri-yasa-disi-yollarla-ele-geciren-3-kisi-yakalandi-42967118

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5MjNmNmIwZWY3YTE.pdf

https://www.linkedin.com/posts/privacyturkey_%C3%BCretken-yapay-zek%C3%A2-ve-ki%C5%9Fisel-verilerin-korunmas%C4%B1-activity-7398619522074677248-thir/?utm_source=share&utm_medium=member_desktop&rcm=ACoAADWHGm0B4qrox25GAFmhu1wFwvMWIRnJSHo

https://www.aa.com.tr/tr/gundem/yargitay-daire-girisine-kamera-yerlestirip-kayit-alan-apartman-yoneticisine-verilen-cezayi-onadi/3734516

https://www.lexpera.com.tr/ictihat/danistay/12-d-e-2023-1904-k-2023-6074-t-27-11-2023

https://www.lexpera.com.tr/ictihat/danistay/12-d-e-2018-4535-k-2022-633-t-23-2-2022

https://www.trthaber.com/haber/ekonomi/petshoplarda-yaban-hayvani-satisi-icin-ruhsat-sarti-927344.html

https://www.linkedin.com/posts/privacyturkey_kvkk-privacy-taesrkiye-activity-7401667682233966592-srvq/?utm_source=share&utm_medium=member_desktop&rcm=ACoAADWHGm0B4qrox25GAFmhu1wFwvMWIRnJSHo

https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/15338972-7ea7-4602-9a34-2028f8c0630f.pdf

https://www.lexpera.com.tr/ictihat/yargitay/3-hukuk-dairesi-e-2024-2803-k-2025-2178-t-16-4-2025

https://www.resmigazete.gov.tr/eskiler/2025/12/20251209-11.pdf

https://www.cottgroup.com/tr/mevzuat/item/yeniden-degerleme-oranina-gore-2026-yili-kvkk-idari-para-cezalari

https://www.resmigazete.gov.tr/eskiler/2025/11/20251127-4.htm

https://www.linkedin.com/posts/celikbas-law-office_administrative-fines-activity-7396853136210071552-ndNK?utm_source=share&utm_medium=member_desktop&rcm=ACoAADWHGm0B4qrox25GAFmhu1wFwvMWIRnJSHo

https://www.kvkk.gov.tr/Icerik/8538/uluslararasi-sozlesme-niteliginde-olmayan-anlasma-ile-yurt-disina-kisisel-veri-aktarimina-izin-verilmesi-hakkinda-duyuru

https://www.resmigazete.gov.tr/eskiler/2025/12/20251203-2.htm

https://www.lexpera.com.tr/ictihat/yargitay/12-hukuk-dairesi-e-2022-13128-k-2023-785-t-13-2-2023

https://www.aa.com.tr/tr/gundem/yargitay-herkese-acik-hesaptan-alinan-fotograflarin-paylasilmasini-kisisel-veri-ihlali-saydi/3663310

https://www.lexpera.com.tr/ictihat/yargitay/12-ceza-dairesi-e-2022-8141-k-2025-4290-t-12-5-2025

https://www.aa.com.tr/tr/gundem/yargitaydan-dugun-fotograflarini-musterilerine-izinsiz-gosteren-fotografciya-mahkumiyet-karari/3745642

https://www.linkedin.com/posts/privacyturkey_yapayzeka-privacy-ai-activity-7406402405099270145-ZfZz/?utm_source=share&utm_medium=member_desktop&rcm=ACoAADWHGm0B4qrox25GAFmhu1wFwvMWIRnJSHo

https://www.lexpera.com.tr/ictihat/adli-yargi-ilk-derece-mahkemeleri/istnbl-14-asliye-ticaret-mahkemesi-e-2023-856-k-2025-415-t-15-5-2025

https://kararlarbilgibankasi.anayasa.gov.tr/BB/2022/5840

https://www.kvkk.gov.tr/Icerik/8466/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Istanbul-Golf-Ihtisas-Spor-Kulubu

https://www.kvkk.gov.tr/Icerik/8557/kamuoyu-duyurusu-veri-ihlali-bildirimi-beycelik-holding-a-s-ve-grup-sirketleri

https://www.kvkk.gov.tr/Icerik/8558/kamuoyu-duyurusu-veri-ihlali-bildirimi-dem-ilac-sanayi-ve-ticaret-a-s

https://www.kvkk.gov.tr/Icerik/8385/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Sinch-AB

https://www.kvkk.gov.tr/Icerik/8561/kamuoyu-duyurusu-veri-ihlali-bildirimi-balikesir-uludag-turizm-tas-ins-tic-ltd-sti

https://www.kvkk.gov.tr/Icerik/8559/kamuoyu-duyurusu-veri-ihlali-bildirimi-dmr-otomotiv-kiralama-sanayi-ve-ticaret-limited-sirketi

https://www.kvkk.gov.tr/Icerik/8467/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Mango-T-R-Tekstil-Tic-Ltd-Sti-

https://www.kvkk.gov.tr/Icerik/8560/kamuoyu-duyurusu-veri-ihlali-bildirimi-pharmada-ilac-sanayi-ve-ticaret-a-s

https://www.kvkk.gov.tr/Icerik/8460/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Cleverbridge-GmbH

https://www.kvkk.gov.tr/Icerik/8465/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Haydigiy-E-Ticaret-Tekstil-Sanayi-ve-Ticaret-Limited-Sirketi

https://gdprhub.eu/index.php?title=CE_-_473833&mtc=today

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202316921&mtc=today

https://www.reuters.com/legal/government/google-pay-190-million-legal-fees-texas-law-firms-privacy-settlement-2025-10-24/

https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_200/2025&mtc=today

https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/recommendations-22025-legal-basis-requiring_en

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10162731&mtc=today

*Yasal Uyarı*

İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.

Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir