| KİŞİSEL VERİLERİN KORUNMASI HAKKINDA BÜLTEN |
| Şubat 2026 / Sayı:4 Av. Nil Merve Çelikbaş Şeker, L.LM. |
Kişisel Verilerin Korunması Hakkında Bülten
2026
Av. Nil Merve Çelikbaş Şeker, L.LM.
2026 yılının ilk döneminde kişisel verilerin korunması alanında gerek Kişisel Verileri Koruma Kurumu (“Kurum”) gerek yargı organları ve uluslararası veri koruma otoriteleri tarafından verilen kararlar ile mevzuat ve uygulamaya yön veren çok sayıda gelişme yaşanmıştır. Özellikle dijital ortamlarda veri güvenliği, çocuk ve gençlere ait kişisel verilerin korunması, yapay zekâ temelli veri işleme faaliyetleri, biyometrik veri kullanımı, çalışan gözetim uygulamaları, veri ihlallerinin bildirim süreçleri ile idari para cezalarına ilişkin güncel uygulamalar 2026 yılında veri sorumlularının uyum süreçlerinde yeniden değerlendirilmesi gereken temel başlıklar olarak öne çıkmaktadır. Bu bültende; Kişisel Verileri Koruma Kurumu uygulamaları, Anayasa Mahkemesi ve yüksek yargı kararları ile uluslararası veri koruma otoritelerinin güncel yaklaşımları birlikte ele alınarak, veri sorumluları ve uygulayıcılar açısından önem arz eden gelişmelere yer verilmiştir.
Bu kapsamda Kişisel Verilerin Korunması Hakkında Bültenimizin ilgili sayısında;
- Kişisel Verilerin Korunması Alanında Kurumun İdari Yaptırım ve Uygulama Verilerine İlişkin Güncel Açıklama
- Dijital Ortamda Çocukların ve Gençlerin Korunmasına İlişkin Kanun Teklifi ve KVKK Boyutu
- Sosyal Medyada Fotoğrafın İzinsiz Yeniden Paylaşılması
- KVKK’da Yapay Zekâ İçeriklerine İlişkin Kanun Teklifi
- Verbis İstisnalarının Uygulanmasına İlişkin Kamuoyu Duyurusu
- Siber Güvenlik Kanunu Kapsamında İdari Para Cezalarının Güncellenmesi
- Mobil Uygulamalarda Pazarlama Bildirimleri İçin Ayrı Açık Rıza Zorunluluğu
- SGK Başvurularında Özel Yetki Şartı ve KVKK Uyum Değerlendirmesi
- Üniversite Yurtlarında Güvenlik Kameralarının Kaldırılması Talebi
- Doğmamış Çocuğa İlişkin GDPR Kararı
- Yapay Zekâ Destekli Dilekçe Sunan Avukata ve Müvekkiline Büyük Ceza
- Eski Çalışana Ait E-Posta Hesaplarının Aktif Tutulması GDPR’a Aykırı
- Avrupa’da GDPR Cezalarının Tahsil Sorunu
- KVKK Bülteni: Dijital Okuryazarlık ve Kişisel Verilerin Korunması
- Kamu Kurumlarında Yurt Dışı Menşeli Haberleşme Uygulamaları
- Yargıtay’dan Emsal Karar: Eşit İşlem İlkesi Gizlilikten Önce Gelir
- Yargıtay Kararları: İşyerinde Gizlilik, İzleme ve Delil Elde Etme Sınırları
- Yüz Tanıma ile Yoklama Cezası
- Araç İçi İzleme Nedeniyle GDPR Cezası
- Veri İhlali İlan Süresinin 60 Günle Sınırlandırılması
- Anayasa Mahkemesi Kararı: Sınav Sonuç Belgesinin Yayınlanması Basın Özgürlüğü Kapsamında Görülmedi
- Sadakat Kart Uygulamalarında Kimlik Doğrulama Zorunluluğu: KVKK’dan İlke Kararı
başlıklarını özetle ele alacağız.
Keyifli okumalar dileriz.
KİŞİSEL VERİLERİN KORUNMASI ALANINDA KURUMUN İDARİ YAPTIRIM VE UYGULAMA VERİLERİNE İLİŞKİN GÜNCEL AÇIKLAMA
Kişisel Verileri Koruma Kurumu Başkanı tarafından yapılan açıklamada; 6698 sayılı Kanun kapsamında yürütülen inceleme ve denetimler sonucunda bugüne kadar toplam 1.297.282.000 TL idari para cezası uygulandığı belirtilmiştir. Kurumun faaliyete geçtiği 2017 yılından itibaren 58.640 ihbar, şikâyet ve başvurudan 56.377’si sonuçlandırılmış, 1.917 veri ihlal bildiriminin 403’ü kamuoyu ile paylaşılmıştır.
Yurt dışına kişisel veri aktarımı kapsamında Kuruma 3.857 standart sözleşme bildirildiği ve 13 taahhütnameye onay verildiği ifade edilmiştir. Ayrıca uygulamaya yön vermek amacıyla bugüne kadar 1.350 hukuki görüş, 332 Kurul kararı ve 10 ilke kararı yayımlandığı; 2025 yılı içerisinde 7 rehber hazırlanarak toplam rehber sayısının 57’ye ulaştığı açıklanmıştır.
DİJİTAL ORTAMDA ÇOCUKLARIN VE GENÇLERİN KORUNMASINA İLİŞKİN KANUN TEKLİFİ VE KVKK BOYUTU
Aile ve Sosyal Hizmetler Bakanı tarafından duyurulan ve daha sonra Türkiye Büyük Millet Meclisi’ne sunulan 14 maddelik Kanun Teklifi ile, çocukların (18 yaş altı) ve gençlerin (18-24 yaş) dijital ortamlarda karşılaşabileceği risklere karşı koruyucu bir hukuki çerçeve oluşturulması amaçlanmaktadır. Teklif kapsamında sosyal ağ sağlayıcılarına yaş doğrulama yükümlülüğü getirilmekte; biyometrik verilerin yalnızca doğrulama amacıyla kullanılabileceği, işlem sonrası saklanamayacağı düzenlenmektedir. Çocuklara yönelik kişiselleştirilmiş reklamlar yasaklanmakta, ebeveyn denetimli güvenli hesap ve arama sistemleri zorunlu hâle getirilmektedir.
Düzenleme ile platformların; bağımlılık yaratan tasarımlardan, sınırsız içerik akışından ve algoritmik yönlendirmelerden kaçınması, çocuk ve gençlere ait kişisel verilerin üçüncü kişilere aktarılmaması amaçlanmaktadır. Ayrıca dijital içeriklere yaş sınıflandırması getirilmesi, 16 yaş altı çocuklar bakımından ekran süresi ve çevrim içi oyun sürelerinin sınırlandırılması, velilere haftalık kullanım raporu sunulması ve riskli içeriklerde anlık bildirim yapılması düzenlenmektedir. Yükümlülüklere aykırılık hâlinde idari para cezaları ile faaliyet durdurma yaptırımları öngörülmekte; çocuklara yönelik zararlı içerik üreten ve yayanlar bakımından hapis cezası düzenlemesine yer verilmektedir.
Teklifin, 6698 sayılı Kanun bakımından özellikle çocuklara ait kişisel verilerin işlenmesinde ölçülülük, veri minimizasyonu ve veri güvenliği ilkelerinin güçlendirilmesine yönelik olduğu; yaş doğrulama sistemleri, biyometrik verilerin sınırlı kullanımı ve veri aktarımının engellenmesi suretiyle veri sorumlularına artırılmış teknik ve idari tedbir yükümlülükleri getirdiği değerlendirilmektedir. Bu yönüyle düzenleme, çocukların dijital ortamlarda korunmasına ilişkin politikaların kişisel verilerin korunması hukuku ile bütünleşik biçimde yeniden yapılandırılmasına işaret etmektedir.
Sosyal Medyada Fotoğrafın İzinsiz Yeniden Paylaşılması
Yargıtay 12. Ceza Dairesi, 2023/3439 E., 2025/6519 K. ve 16.9.2025 tarihli kararında, bir kişinin aynı işyerinde çalışanlara ait fotoğrafı onların sosyal medya hesabından alarak izinsiz biçimde kendi hesabında paylaşmasını, kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi suçu kapsamında değerlendirmiştir. Kararda, kişisel verinin belirli veya belirlenebilir kişiye ilişkin her türlü bilgi olduğu, bu kapsamda sosyal medyada paylaşılan görüntülerin de kişisel veri niteliğini koruduğu ve ilgili kişiler tarafından daha önce paylaşılmış olmasının üçüncü kişiler açısından serbest kullanım hakkı doğurmadığı belirtilmiştir. Bu yönüyle karar, açık rıza olmaksızın görüntülerin yeniden paylaşılmasının KVKK’da düzenlenen hukuka uygunluk şartlarını ihlal ettiği ve ceza hukuku bakımından da yaptırıma bağlanabileceğini ortaya koymaktadır.
KVKK’da Yapay ZekA İçeriklerine İlişkin Kanun Teklifi
Türkiye Büyük Millet Meclisi’ne sunulan Kanun Teklifi ile, yapay zekâ araçları kullanılarak üretilen sesli, yazılı veya görsel içeriklerin ilgili kişinin rızası olmaksızın paylaşılması halinde, bu paylaşıma izin veren dijital platformlar hakkında ciro üzerinden idari para cezası uygulanması öngörülmektedir. Teklif, deepfake ve benzeri yapay zekâ çıktılarının kişisel verilerin ihlal edilmesi suretiyle yayılmasını önlemeyi amaçlamakta ve platformlara içerik denetimi bakımından doğrudan sorumluluk yüklemektedir. Bu düzenleme ile KVKK’nın kişisel verilerin hukuka uygun işlenmesi ve korunması ilkelerinin, yapay zekâ kaynaklı içeriklere de uygulanacağı açık biçimde ortaya konulmaktadır.
VERBİS İstisnalarının Uygulanmasına İlişkin Kamuoyu Duyurusu
Kişisel Verileri Koruma Kurumu, VERBİS’e kayıt yükümlülüğüne getirilen yeni istisnanın uygulanmasına ilişkin yayımladığı kamuoyu duyurusu ile, bilanço esasına göre defter tutmayan veri sorumluları bakımından yıllık mali bilanço kriterinin aranmayacağını, yalnızca çalışan sayısının esas alınacağını açıklamıştır. Buna göre ana faaliyet konusu özel nitelikli kişisel veri işlemek olan ve çalışan sayısı 10’dan az olan veri sorumluları, bilanço bilgisi bulunmadığı durumlarda yalnızca bu kriter üzerinden değerlendirilerek Sicil yükümlülüğünden muaf tutulacaktır. Ancak Kurum, bu istisnanın KVKK kapsamından muafiyet anlamına gelmediğini, aydınlatma yükümlülüğü, veri güvenliği tedbirleri ile saklama ve imha yükümlülüklerinin aynen devam ettiğini özellikle vurgulamıştır.
Siber Güvenlik Kanunu Kapsamında İdari Para Cezalarının Güncellenmesi
2026 yılı yeniden değerleme oranı esas alınarak 7545 sayılı Siber Güvenlik Kanunu’nda öngörülen idari para cezaları önemli ölçüde artırılmıştır. Buna göre siber güvenlik tedbirlerinin alınmaması, siber olayların bildirilmemesi, yetkilendirilmiş tedarik yükümlülüğüne aykırı hareket edilmesi ve denetim yükümlülüklerinin ihlali gibi fiiller bakımından milyonlarca liraya ulaşan yaptırımlar öngörülmektedir. Bu düzenleme, kişisel verilerin güvenliğinin sağlanması yükümlülüğünü teknik ve idari boyutuyla güçlendirmekte; veri ihlallerinin yalnızca KVKK kapsamında değil, siber güvenlik mevzuatı çerçevesinde de ağır yaptırımlarla karşılık bulacağını ortaya koymaktadır.
MOBİL Uygulamalarda Pazarlama Bildirimleri İçin Ayrı Açık Rıza Zorunluluğu
Kurum, mobil uygulamalarda sipariş takibi ve kargo bildirimi gibi hizmetin doğal parçası olan iletiler ile reklam ve kampanya içerikli pazarlama bildirimlerinin tek bir onay kapsamında sunulamayacağını açıklamıştır. Kurum, bu tür uygulamaların açık rızanın özgür iradeye dayanması ilkesini ortadan kaldırdığını, hizmetin pazarlama onayına bağlanmasının hukuka aykırı olduğunu ve kullanıcıya hangi tür bildirimi almak istediğini ayrı ayrı seçme imkânı tanınması gerektiğini belirtmiştir. Bu açıklama ile, pazarlama amaçlı bildirimlerin ancak açık ve ayrı bir rızaya dayanabileceği ve uygulamaların teknik olarak bu tercihlere uygun biçimde tasarlanması gerektiği vurgulanmıştır.
SGK Başvurularında Özel Yetki Şartı ve KVKK Uyum Değerlendirmesi
Danıştay (10. D. 2020/1062 E., 2024/2503 K., 11/06/2024 T. Kararı), Sosyal Sigorta İşlemleri Yönetmeliği’nin “Kanunî temsilcilerce veya vekillerce yapılan başvurular” başlıklı 80. maddesinin 2. fıkrasına ilişkin iptal talebini reddetti. Davacı, noter onaylı vekaletnamelerde özel yetki aranmasının Türkiye Barolar Birliği ve Noterler Birliği’nin yetkilerini sınırladığını ve Avukatlık Kanunu ile Türk Borçlar Kanunu’na aykırı olduğunu iddia etmişti. Danıştay, SGK tarafından bağlanacak aylıklar için vekaleten başvurularda özel yetki aranmasının KVKK uyarınca kişisel verilerin korunması amacına uygun olduğunu, düzenlemenin yalnızca avukatları değil tüm vekilleri kapsadığını ve bireysel veya toplu veri ile ticari sırların korunmasına hizmet ettiğini belirterek iptal talebini reddetti.
Üniversite Yurtlarında Güvenlik Kameralarının Kaldırılması Talebi
Danıştay 10. D. 2021/390 E., 2024/2588 K., 12/06/2024 T. sayılı kararında bir sendikanın üniversite yurtlarında çalışan personelin özel hayatını ihlal ettiği iddiasıyla yerleştirilen kameraların kaldırılmasını talep etmesi üzerine verilen iptal kararına konu olayı aşağıdaki kriterlerle yeniden değerlendirdi. Danıştay, kamera kayıtlarını inceleyerek, kameraların bina ve koridor güvenliği ile öğrenci ve personel güvenliğini sağlamaya yönelik olduğunu, doğrudan personeli izleme amacı taşımadığını ve KVKK’nın 5/2-f maddesi uyarınca meşru menfaat kapsamında değerlendirilebileceğini belirtti. Bu nedenle ilk derece mahkemesinin iptal kararını bozdu.
Doğmamış Çocuğa ilişkin GDPR KARARI
Belçika veri koruma otoritesi, bir fizyoterapistin hamile danışanın haberi olmadan doğmamış çocuğun cinsiyet bilgisine erişmesini ve paylaşılan elektronik sağlık kayıtlarını incelemesini GDPR’a aykırı buldu (APD/GBA (Belgium) – 209/2025). Otorite, hem fizyoterapist hem de hastane hakkında GDPR’ın ilgili maddeleri uyarınca kınama cezası verdi. Türkiye açısından bu durum, Türk Medeni Kanunu 28. madde uyarınca doğmamış çocuğun korunmaya değer menfaatlerinin bulunduğunu ve KVKK bakımından annenin hamilelik bilgilerini özel nitelikli veri olarak koruduğunu teyit ediyor.
Yapay Zeka Destekli Dilekçe SUNAN AVUKATA VE MÜVEKKİLİNE BÜYÜK Ceza
ABD Mississippi Bölge Mahkemesi (MOHAN PAULIAH, v. UNIVERSITY OF MISSISSIPPI MEDICAL CENTER, CAUSE NO. 3:23-CV-3113-CWR-ASH) yapay zeka ile uydurma içerik barındıran yeminli beyan sunan davacı ve avukatına ayrı ayrı para cezası verdi. Davacıya 1.000$, avukata 4.000$ ceza uygulanırken, avukatın uydurma içerik konusunda farkındalık artırıcı meslek içi eğitim alması zorunlu kılındı. Mahkeme, uydurma içerikli beyanın dosyadan çıkarılmasını ve dosyanın kapatılmasını hükme bağladı.
Eski Çalışana Ait E-Posta Hesaplarının Aktif Tutulması GDPR’a Aykırı
Belçika veri koruma otoritesi (APD/GBA (Belgium) – 01/2026), işten ayrılan çalışanın e-posta hesaplarının uzun süre aktif tutulmasını GDPR’a aykırı buldu. Başlangıçta meşru menfaat kapsamında olabilecek durumun, uzun süre sonra ortadan kalktığı ve veri işlemenin gereksiz hâle geldiği tespit edildi. Erişim ve silme taleplerinin reddi nedeniyle veri sorumlusuna kınama cezası verildi.
Avrupa’da GDPR Cezalarının Tahsil Sorunu
Avrupa’daki büyük teknoloji şirketlerinin baş denetim otoritesi olan İrlanda Veri Koruma Komisyonu (DPC), son 6 yılda verdiği GDPR para cezalarına ilişkin önemli verileri paylaştı. İrlanda Veri Koruma Komisyonu, 2020-2026 döneminde kesilen 4,04 milyar €’luk GDPR cezalarının yalnızca 20 milyon €’luk kısmının tahsil edilebildiğini açıkladı. Cezaların çoğunun uzun mahkeme süreçleri ve itirazlar nedeniyle tahsil edilemediği, özellikle büyük teknoloji şirketlerine yönelik işlemlerde gecikmeler yaşandığı belirtildi.
KVKK Bülteni: Dijital Okuryazarlık ve Kişisel Verilerin Korunması
Kurum, üç aylık bülteninin yeni sayısını “Dijital Okuryazarlık ve Kişisel Verilerin Korunması” temasıyla yayımladı. Bülten, dijital mahremiyet, çocukların oyun ortamlarında veri güvenliği, mobil uygulama kullanımı öncesi ve süresince dikkat edilmesi gerekenler ile güncel gelişmeleri kapsıyor ve bireysel ile sektörel farkındalığı artırmayı hedefliyor.
Kamu Kurumlarında Yurt Dışı Menşeli Haberleşme Uygulamaları
KVKK, kamu kurumlarının WhatsApp gibi yurt dışı menşeli uygulamaları kullanarak gizlilik dereceli veri paylaşımının uygun olmadığını duyurdu. Cumhurbaşkanlığı Genelgesi ve Kanun kapsamında yerli uygulamaların tercih edilmesi gerektiği, personel GSM numaralarının veri işleme faaliyeti kapsamında olduğu ve KVKK şartlarına uyulması gerektiği vurgulandı.
Yargıtay’dan Emsal Karar: Eşit İşlem İlkesi Gizlilikten Önce Gelir
Yargıtay 9. Hukuk Dairesi’nin, 2016/24041 E., 2017/15069 K. ve 5.10.2017 tarihli kararında, teknik destek elemanı olarak çalışan davacının, işyerinde bakım sırasında ulaştığı ücret ve zam oranlarına ilişkin belgeyi kendi ücretinin aynı işi yapanlara göre düşük olduğunu göstermek amacıyla amiriyle paylaşması üzerine “şirket sırrını ifşa” gerekçesiyle işten çıkarılmasını hukuka aykırı bulmuştur. İlk derece mahkemesi davacının bilgileri üçüncü kişilerle paylaştığını ve doğruluk-bağlılık yükümlülüğünü ihlal ettiğini kabul ederek davayı reddetmişse de Yargıtay, İş Kanunu m. 5’te düzenlenen eşit davranma borcu ile Anayasa m. 10’daki eşitlik ilkesi çerçevesinde değerlendirme yapmış; aynı işyerinde çalışan işçilerin ücret ve zam oranlarını bilmeden eşit işlem denetimi yapamayacağını, kötü niyetli kullanım kanıtlanmadıkça bu bilgilerin mutlak gizli sayılamayacağını ve eşitlik ilkesinin gizlilik iddiasından önce geleceğini vurgulamıştır. İşverenin, davacının davranışının işyerinde somut olumsuzluklara yol açtığını ve iş ilişkisinin sürdürülmesinin kendisinden beklenemeyeceğini ispatlayamadığı belirtilerek feshin geçerli nedene dayanmadığı sonucuna varılmış; yerel mahkeme kararı bozulmuş, feshin geçersizliğine ve davacının işe iadesine, başvuruya rağmen işe başlatılmaması halinde dört aylık ücret tutarında tazminat ile en çok dört aylık boşta geçen süre ücretinin ödenmesine kesin olarak karar verilmiştir.
Yargıtay Kararları: İşyerinde Gizlilik, İzleme ve Delil Elde Etme Sınırları
Yargıtay Hukuk Genel Kurulu’nun 2017/3017 E. 2018/99 K. ve 24.1.2018 tarihli kararında, işçiye tahsis edilen masa, dolap ve çekmecelerin aranmasının özel hayata müdahale teşkil edebileceğini kabul etmiş; ancak bu müdahalenin her durumda hukuka aykırı sayılamayacağını vurgulamıştır. Kararda, Avrupa İnsan Hakları Mahkemesi’nin Peev v. Bulgaria kararındaki “makul gizlilik beklentisi” kriterine paralel bir yaklaşım benimsenmiştir. Somut olayda işverenin Personel Yönetmeliği’nde masa ve dolaplarda yalnızca işle ilgili belgelerin bulundurulabileceğini, kişisel eşya konulamayacağını ve gerekli hallerde inceleme yapılabileceğini açıkça düzenlediği; bu nedenle işçi açısından aranmayacağı yönünde makul bir gizlilik beklentisinin oluşmadığı kabul edilmiştir. Sonuç olarak arama, ilkesel olarak özel alana temas etse de somut olayda hukuka aykırı bulunmamıştır.
Yargıtay 12. Ceza Dairesi, işyerinde mobbing iddiasını ispat amacıyla, görüşmenin tarafı olan çalışanın yaptığı gizli ses kaydının suç oluşturmadığına hükmetmiştir (E. 2020/1058, K. 2022/6239, 05.10.2022). Çalışan hakkında Türk Ceza Kanunu m.133/1 kapsamında dava açılmışsa da; kaydı alan kişinin konuşmanın doğrudan tarafı olduğu, üçüncü kişilere ait bir iletişimin söz konusu olmadığı ve içeriğin özel hayatın gizliliğini ihlal eder nitelik taşımadığı gerekçesiyle beraat kararı verilmiş, Yargıtay da bu hükmü oybirliğiyle onamıştır.
Yargıtay 22. Hukuk Dairesi 2017/21857 E. 2019/9884 K. ve 7.5.2019 tarihli kararında işçinin bilgisayarına gizlice yüklenen “keylogger” programı aracılığıyla elde edilen kayıtların feshe dayanak yapılamayacağına karar vermiştir. İncelemede Türk Borçlar Kanunu m.417 ve 419 hükümleri çerçevesinde işçinin kişiliğinin ve kişisel verilerinin korunması ilkesi esas alınmış; işverenin yönetim hakkı kapsamında izleme yapabileceği ancak bunun sınırsız olmadığı, işçinin önceden açıkça bilgilendirilmesi gerektiği belirtilmiştir. Gizli ve kapsamı belirsiz izleme sonucu elde edilen verilerin hukuka aykırı olduğu, bu nedenle haklı fesih gerekçesi oluşturamayacağı ifade edilerek yerel mahkeme kararı bozulmuştur.
Yüz Tanıma ile Yoklama Cezası
İtalya DPA (Provvedimento del 29 gennaio 2026 [10221611]) çevrimiçi derslerde biyometrik yüz tanıma sistemi kullanan Università Telematica e-Campus hakkında 50.000€ idari para cezası uygulamıştır. İncelemede; açık rızanın özgür irade unsuru bakımından geçerli olmadığı, veri minimizasyonu ve saklama süresi ilkelerine uyulmadığı, ayrıca yüksek riskli işleme için DPIA’nın usulüne uygun yapılmadığı tespit edilmiştir. Üniversitenin süreç içinde sistemi değiştirmesi ve sonlandırması da kararda dikkate alınmıştır.
Araç İçi İzleme NEDENİYLE 120.000€ GDPR Cezası
İtalya DPA (Garante per la protezione dei dati personali (Italy) – 10213711) şirket araçlarına yerleştirilen GPS ve sürüş takip sistemiyle çalışanların konum, hız, frenleme ve sürüş davranışlarının izlenmesi nedeniyle 120.000€ ceza vermiştir. Çalışanlara yapılan aydınlatmanın yetersiz olduğu, meşru menfaat dengesinin kurulmadığı, DPIA yapılmadığı ve verilerin 13 ay saklandığı belirlenmiştir. Ayrıca verilerin grup şirketleriyle yeterli veri işleyen sözleşmesi olmadan paylaşılması da ihlal sayılmış; toplanan verilerin silinmesine karar verilmiştir.
Veri İhlali İlan Süresi 60 Günle Sınırlandı
Kurum, KVKK m.12/5 uyarınca veri ihlallerinin Kurula en geç 72 saat içinde bildirilmesi gerektiğini hatırlatmış; 25.12.2025 tarihli ve 2025/2451 sayılı Kurul Kararı ile internet sitesinde yayımlanan veri ihlali duyurularının artık 60 gün süreyle ilan edilmesine karar vermiştir. İlgili kişilere daha kısa sürede bildirim yapıldığının tevsik edilmesi halinde ilan süresi dolmadan yayından kaldırılabilecektir. Düzenlemenin amacı, ihlalden etkilenen kişilerin olası zararları önleyebilmesi için şeffaflığı sağlarken ilan süresini ölçülü biçimde sınırlandırmaktır.
Anayasa Mahkemesi Kararı: Sınav Sonuç Belgesinin Yayımlanması Basın Özgürlüğü Kapsamında Görülmedi
Anayasa Mahkemesi, 32 Yayıncılık Ltd. Şti.’nin başvurusunda (B. No: 2022/58084, 17.09.2025), internet haber sitesinde bir öğrenciye ait YKS sonuç belgesinin ad, soyad, fotoğraf, yerleşilen üniversite ve puan bilgileriyle birlikte yayımlanması nedeniyle verilen 30.000 TL idari para cezasının ifade ve basın özgürlüğünü ihlal etmediğine karar vermiştir; Mahkeme, KVKK kapsamında kişisel verilerin korunmasının meşru bir amaç olduğunu, söz konusu yayının kamu yararına katkı sunmadığını, ilgili kişinin tanınmış bir kişi olmadığını ve içeriğin toplumsal bir tartışmaya hizmet etmediğini belirterek “günlük havadis” veya alenileştirme savunmalarını yeterli görmemiş, idari para cezasının kanuni dayanağının bulunduğunu, ölçülü olduğunu ve ifade özgürlüğü ile kişilik hakları arasında adil denge kurulduğunu değerlendirerek ihlalin mevcut olmadığı sonucuna ulaşmıştır.
Sadakat Kart Uygulamalarında Kimlik Doğrulama Zorunluluğu: KVKK’dan İlke Kararı
Kurul’un 28 Şubat 2026 tarihli Resmî Gazete’de yayımlanan 2026/266 sayılı İlke Kararı ile sadakat kart programlarında üçüncü kişilerce gerçekleştirilen kullanımlar mercek altına alındı. Kararda, alışveriş sırasında kart sahibine ait cep telefonu numarasının veya kart numarasının, herhangi bir doğrulama yapılmaksızın başka kişiler tarafından beyan edilerek indirim ve puan kazanımı sağlanmasının; 6698 sayılı Kanun’un 4. maddesinde yer alan doğru ve güncel olma ilkesi ile 12. maddede düzenlenen veri güvenliğine ilişkin yükümlülükler bakımından risk doğurduğu vurgulandı. Özellikle işlemi yapan kişi ile üyelik hesabı adına kayıt oluşturulan kişinin farklı olması halinde, kart sahibi hakkında gerçeği yansıtmayan işlem geçmişi oluşabileceğine dikkat çekildi. Kurul, veri sorumlularının SMS ile tek kullanımlık şifre, mobil uygulama onayı, QR kod doğrulaması, kart/şifre ibrazı gibi uygun teknik ve idari tedbirleri hayata geçirmesi gerektiğini belirtirken; uygulamaların tek bir yönteme indirgenmesinden ziyade işlem türü ve risk seviyesine göre kurgulanmasının önemine işaret etti.
İlke Kararı’nın yayımı tarihinden itibaren tanınan 6 aylık süre sonunda gerekli uyum adımlarını atmayan veri sorumluları hakkında 6698 sayılı Kanun’un 18. maddesi kapsamında idari yaptırımlar gündeme gelebilecektir. Bu gelişme, sadakat programı yürüten tüm sektörler bakımından mevcut sistemlerin gözden geçirilmesini ve doğrulama süreçlerinin yeniden yapılandırılmasını zorunlu kılmaktadır.
Kaynakça:
İlgili karar, duyuru ve haberlere aşağıdaki bağlantılardan ulaşabilirsiniz:
https://tbmm.gov.tr/Yasama/KanunTeklifi/fbc0a279-1f5b-4c15-aca4-019b98b57dfd
https://www.lexpera.com.tr/ictihat/yargitay/12-ceza-dairesi-e-2023-3439-k-2025-6519-t-16-9-2025
https://tbmm.gov.tr/Yasama/KanunTeklifi/90b549a1-3c01-4789-a768-019b9e131772
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_209/2025&mtc=today
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_209/2025&mtc=today
https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5NzcwZDA3MjJlZDY.pdf
https://www.lexpera.com.tr/ictihat/yargitay/9-hukuk-dairesi-e-2016-24041-k-2017-15069-t-5-10-2017
https://www.lexpera.com.tr/ictihat/yargitay/hukuk-genel-kurulu-e-2017-3017-k-2018-99-t-24-1-2018
https://www.lexpera.com.tr/ictihat/yargitay/22-hukuk-dairesi-e-2017-21857-k-2019-9884-t-7-5-2019
https://www.kvkk.gov.tr/Icerik/8595/kamuoyu-duyurusu
https://www.lexpera.com.tr/ictihat/anayasa-mahkemesi/e-2022-58084-t-17-9-2025
https://www.resmigazete.gov.tr/eskiler/2026/02/20260228-5.pdf
*Yasal Uyarı*
İşbu makale bilgi ve deneyim paylaşımına yönelik olup yazıların içerdiği bilgilerin güvenilirliği veya güncelliği konusunda hukuki güvence vermemektedir. Çelikbaş Hukuk Ofisi, bu makalede yer alan her türlü bilgi ve sair içeriklerin doğrudan veya dolaylı olarak kullanılmasından oluşacak zararlardan hiçbir şekilde sorumlu değildir.
Bu sitede paylaşılan bilgiler yalnızca bilgilendirme amaçlıdır; Türkiye Cumhuriyeti Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmez. Bu bilgilerin iletilmesi hiçbir şekilde avukat müvekkil ilişkisi oluşturmaz. Bu bilgiler en son hukuki durumu yansıtmayabileceğinden okuyucular güncel durum hakkında bir avukata danışarak hareket etmelidirler.