• Kişisel Verileri Koruma Kurumu’nun (“Kurum”) web sitesinde veri ihlal bildirimleri yayımlanmıştır.
  • Karakaya Kuruyemiş Gıda Tarım Ürünleri İnş. Taah. Turz. Teks. Sanayi ve Ticaret Limited Şirketi, Adnan Özen İnşaat Taah. Enerji Turizm Tic. Ve San A.Ş., Creditwest Faktoring A.Ş., Uber Technologies Inc., Güneş Ekspres Havacılık A.Ş., Ann & Robert H. Lurie Children’s Hospital of Chicago, Maltepe Üniversitesi, Gündoğdu Mobilya Sanayi Ticaret Ltd. Şti., İncirli Sağlık ve Sosyal Tesisler A.Ş., Kentaş Gıda Pazarlama ve Dağıtım Ticaret Limited Şirketi, Atılım Üniversitesi, Kilis 7 Aralık Üniversitesi, Lokman Hekim Üniversitesi
• Kurum tarafından “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik ve Standart Sözleşme Metinlerinin İngilizce Çevirisine İlişkin Duyuru” yayımlanmıştır. Söz konusu duyuru ile kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esaslar hakkında yönetmelik ve standart sözleşme metinlerinin İngilizce taslak versiyonları[1] kamuoyunun görüşüne sunulmuştur.
• Bilindiği üzere, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 16. maddesi gereğince, kişisel veri işleyen tüm veri sorumlularının Veri Sorumluları Sicili’ne (VERBİS) kayıt ve bildirim yükümlülüğü bulunmaktadır. Bu yükümlülüğe riayet etmeyen yaklaşık 16.350 veri sorumlusu hakkında, 08.2024 itibarıyla Kurul tarafından toplam 503.935.000 TL tutarında idari para cezası uygulanmıştır[2]. Ayrıca, kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarına disiplin hükümleri de tatbik edilmiştir.
• Kurum tarafından 09.10.2024 tarihinde “Verican ile Kişisel Verileri Öğreniyorum” başlıklı duyuru yayımlanmıştır. Verican, çocuklar ve aileler için kişisel veri gizliliğine yönelik potansiyel tehlikeleri açıklayan ve güvenli bir dijital gelecek konusunda farkındalık yaratmayı amaçlayan bir çizgi karakter olarak kurgulanmıştır. Kurum, Verican aracılığıyla kişisel veriler hakkında daha kapsamlı bilgilendirme yapmayı ve güvenli bir çevrimiçi deneyim sağlamayı hedeflemektedir[3].
• Kurum’un 17.10.2024 tarihli kararı ile “Standart Sözleşme Bildirim Modülü” devreye alınmış; böylece veri sorumluları ve veri işleyenler, kişisel verilerin yurt dışına aktarımına ilişkin bildirim yükümlülüklerini internet üzerinden hızlı ve etkin bir şekilde yerine getirebilir hale gelmiştir. Kanun’a göre, bu bildirimlerin imzadan itibaren beş iş günü içinde yapılması zorunludur. Bildirimler fiziki olarak, KEP adresi veya Kurul’un belirlediği diğer yöntemlerle yapılabilirken, Kurum’un sunduğu yeni modül ile bu süreçlerin internet üzerinden daha hızlı ve etkin bir şekilde yürütülmesi amaçlanmaktadır[4].
• Kurum, LinkedIn sayfasında “Kurula İletilen Şikâyet ve İhbarlarda Sık Yapılan Hatalar” başlıklı bir duyuru yayımladı[5]. Duyuruda, Kanunun 11. maddesi çerçevesinde yer alan hakların yalnızca ilgili kişi veya onun vekili/yasal temsilcisi tarafından kullanılabileceği ifade edilmiştir. Bu çerçevede, Kurum, ilgili kişi adına temsil yetkisi bulunmayan bir kişinin Kurul’a şikâyette bulunmasının mümkün olmadığını vurgulayan bir açıklama yapmıştır.
• Kurum, "Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu" başlıklı bir bilgi notu paylaştı[6]. Söz konusu bilgi notunda yapay zekâ alanında faaliyet gösteren geliştiricilerin, üreticilerin, servis sağlayıcıların ve karar alıcıların, Kurul tarafından belirlenen tavsiyelere özen göstermesi gerektiği belirtilmiştir. Aynı zamanda, veri sorumlusu veya veri işleyen olarak, kişisel verilerin korunmasına ilişkin mevzuattan doğan yükümlülüklerin yerine getirilmesinin önemi vurgulanmıştır. Özellikle çocuklara yönelik uygulamalarda yaş tespitinin doğru ve güvenilir şekilde yapılmasının da kritik bir unsur olduğu ifade edilmiştir.
• Birleşik Krallık Veri Koruma Otoritesi (ICO), kuantum teknolojisinin daha yaygın hale gelmesi ve bu durumun veri koruma alanına getireceği zorluklara karşı kuruluşların nasıl hazırlık yapması gerektiğine dair bir rapor yayımladı. Rapor, kuantum algılama, zamanlama, görüntüleme ve kuantum iletişimleri gibi alanlarda gelişen uygulamaları inceliyor ve mevcut siber güvenlik tehditlerine karşı önlem alınmasını öneriyor.Özellikle büyük kuruluşların, post-kuantum şifrelemeye geçiş hazırlığı yapması gerektiği vurgulanıyor.[7]
• Microsoft'a ait LinkedIn, kullanıcıların kişisel verilerini, aktif bir izin almaksızın, davranış analizi ve hedefli reklamcılık amacıyla işlediğini doğruladı. LinkedIn, gizlilik ayarlarında yapılan bu değişiklikler hakkında kullanıcılara herhangi bir bildirimde bulunmazken, varsayılan izinleri iptal etme seçeneği sundu[8]. Ancak bu durum, Genel Veri Koruma Yönetmeliği (GDPR) ile belirlenen kişisel verilerin işlenmesine yönelik yasal dayanakların ihlaline yol açtı. GDPR, kişisel verilerin işlenmesinin rıza, sözleşmesel gereklilik veya meşru menfaatler gibi yasal dayanaklarla desteklenmesi gerektiğini vurgularken, LinkedIn’in bu yasal dayanakları sağlamaksızın ve kullanıcı rızası almaksızın veri işlemesi nedeniyle İrlanda Veri Koruma Otoritesi tarafından 310.000.000 euro idari para cezası uygulanmıştır.[9] Konuya ilişkin Kurum’un ilgili kılavuzunda “opt-in” ve “opt-out” tanımlarına yer verilmiştir[10]. Bu bağlamda, geçerli bir açık rıza sağlanabilmesi için yalnızca opt-in yöntemiyle bir seçim sunulması gerektiğinden, opt-out seçeneğiyle kişisel verilerin işlenmesi hukuka uygun sayılmayacaktır.
• EDPB (European Data Protection Board), veri sorumlusunun meşru menfaatlerine dayanarak kişisel veri işleme süreçlerine ilişkin 20 Kasım 2024 tarihine kadar kamuoyunun görüşüne açık bir taslak rehber yayımladı. Rehberde, hangi durumlarda veri sorumlusunun meşru menfaat hukuki sebebine dayanabileceğine ilişkin kriterler değerlendirildi ve bu kriterlerin kişisel veri işleme faaliyeti öncesinde var olması gerektiği belirtildi. EDPB tarafından kabul edilen bu rehber kapsamında, meşru menfaatin son çare olarak veya diğer dayanakların uygulanmadığı durumlarda dayanılan bir hukuki sebep olarak kullanılmaması gerektiğinin altı çizildi.[11]
• Tıbbi muayenehanelere ve sağlık merkezlerine ilişkin yönetim yazılımı sağlayan şirket CEGEDIM SANTÉ şirketinin, Fransız Veri Koruma Yasası kapsamında Fransız Veri Koruma otoritesi (CNIL)’nin onayını almadan araştırma ve istatistiksel amaçlar için anonim hale getirilmiş sağlık verilerini işlemesi sebebiyle CNIL tarafından idari para cezası verilmiştir. Ancak verilerin ayrıntılı hasta bilgileri içermesi, bireylerin yeniden kimliklendirilmesini mümkün kılması sebebiyle anonimleştirme standartlarını karşılamadığı gerekçeleriyle CNIL, veri sorumlusu CEGEDIM SANTÉ' ye sağlık verilerini uygun yetki olmadan işlediği için 800,000 euro idari para cezası verdi.[12]
• Avrupa Komisyonu, 11 Ocak 2024 tarihinde gönüllü veri paylaşım mekanizmalarına güveni artırmayı amaçlayan Veri Yönetimi Yasası’nı (Data Governance Act) tamamlayıcı nitelikteki Veri Yasası hakkında, 23 Eylül 2024 tarihinde “En Çok Merak Edilen Sorular” başlığı altında kapsamlı bir rehber yayımlamıştır. Bu rehber, GDPR ve diğer AB mevzuatına bağlı güncel düzenlemeleri, veri erişim haklarının kapsamını, bağlantılı ürün ve hizmetlerin tanımını, kullanıcı hak ve yükümlülüklerini, veri sahiplerinin sorumluluklarını ve ticari sırlar gibi güvenlik kaygılarını ele alan mekanizmaları içermektedir. Ayrıca, rehberde Veri Yasası'nın 12 Eylül 2025 tarihinde yürürlüğe gireceği belirtilmiştir.[13]
• Dünya Ekonomik Forumu, yükselmekte olan on teknolojinin incelendiği serinin bu yılki sayısını yayımlamıştır. Yapay zekâ ve bağlantılı teknolojilerdeki atılımların öne çıkarıldığı çalışmada, diğer yandan çevresel sürdürülebilirliği artıran teknolojilere de yer verilmiştir. Çalışmada ele alınan teknolojilerin, inovasyonu ve küresel iş birliğini güçlendirerek dünyayı daha iyi bir hale getirmeyi amaçladıkları belirtilmiştir. Raporda yer verilen teknolojilerden bazıları şunlardır: Yapay zekâ ile bilimsel keşif, mahremiyet artırıcı teknolojiler, yeniden yapılandırılabilir zeki yüzeyler, yüksek irtifa platform istasyonları, sürükleyici teknoloji .[14]
• Avrupa Konseyi, internete bağlı cihazların güvenliğini artırmak amacıyla önemli bir adım atarak Siber Dayanıklılık Yasası'nı (CRA) kabul etti.[15] Bu yasa, dijital ürünlerin güvenli bir şekilde kullanılmasını, güvenlik özellikleri hakkında yeterli bilgilendirmenin sağlanmasını ve siber tehditlere karşı dayanıklılığın artırılmasını hedeflemektedir. İlgili düzenleme, Avrupa Birliği Resmi Gazetesi'nde yayımlandıktan yirmi gün sonra yürürlüğe girecek ve tamamen uygulanabilmesi için 36 aylık bir geçiş süresi sağlanacaktır. Yeni düzenlemenin temel unsurları arasında şu başlıklar yer almaktadır:
  -AB Genelinde Siber Güvenlik Standartları:
  Donanım ve yazılım ürünlerinin tasarım, üretim ve piyasaya sürümlerinde, Avrupa Birliği genelindeki siber güvenlik gerekliliklerinin uygulanması zorunlu hale gelmektedir. Bu bağlamda, ürünlerin ilgili düzenlemeye uyumunu kanıtlamak amacıyla CE işareti taşımaları
  -Bağlantılı Tüm Cihazları Kapsama:
  İlgili düzenleme, doğrudan ya da dolaylı olarak başka bir cihaza veya ağa bağlı tüm ürünleri kapsayacak şekilde geniş bir alanda geçerli olacaktır.
  -Tüketici Bilgilendirmesi:
  Tüketicilerin siber güvenlik açısından güvenilir donanım ve yazılım ürünlerini tercih edebilmeleri için gerekli bilgilendirmelerin yapılması sağlanarak bilinçli seçimler yapmaları desteklenecektir.
• Avrupa Komisyonu’nun 2024 Türkiye Raporu’nda, yapılan değişikliklere rağmen Kanun’un AB müktesebatı ile tam uyumlu olmadığına vurgu yapılmıştır[16]. Raporda, 2024 yılı Mart ayında kabul edilen 8. Yargı Reform Paketi’ndeki değişiklikler ve kişisel verilerin üçüncü ülkelere aktarımına yönelik düzenlemelere rağmen Kanun’un AB standartlarıyla uyumunun henüz tamamlanmadığı ifade edilmiştir. Bununla birlikte, 2025 yılı Cumhurbaşkanlığı Yıllık Programı’nda Kanun’un GDPR ile uyumlaştırılmasının 2025 yılı içinde tamamlanacağı belirtilmiş; aynı şekilde, 2025-2027 Orta Vadeli Program’da bu uyum sürecinin 2025 yılının dördüncü çeyreğine kadar tamamlanmasının hedeflendiği öngörülmüştür.[17]
• Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) tarafından yapay zekâ, veri ve rekabet arasındaki ilişkinin ele alındığı bir çalışma yayımlandı. Bu çerçevede bahse konu çalışmada; üretici yapay zekâya yönelik bilinmesi gerekenler (potansiyel ekonomik etkisi, üretici yapay zekâ yaşam döngüsü, bu modellerin kullanımı vb.), yapay zekâ arzında - (yapısal faktörler, verinin elde edilebilirliği, geçiş maliyetleri, ekosistemden kaynaklanan unsurlar vb.), rekabet otoriteleri tarafından kullanılabilecek araçlar, rekabet politikası ve yapay zekâya ilişkin olarak gelecekte karşılaşılabilecek hususlar gibi konular incelenmektedir.[18]
• Birleşik Krallık Veri Koruma Otoritesi (ICO) tarafından yürütülen “Children’s Data Lives” projesine ilişkin rapor yayımlandı. Çocukların çevrim içi dünyadaki davranışları ve bu davranışların kişisel verilerin korunmasına ilişkin haklarla nasıl kesiştiği konusunda temel bir anlayış sunulması amaçlanan projede, çocukların veri mahremiyetine ilişkin farkındalıkları ile mahremiyetin korunmasına verdikleri önem araştırılmaktadır.[19]
• Çocukların kişisel verilerinin korunması, dijital çağda giderek daha önemli ve hassas bir konu haline gelmiştir. Çocukların çevrimiçi ortamlarda aktif olarak yer alması, oyunlar, sosyal medya ve eğitim platformları gibi dijital alanlarda daha fazla zaman geçirmesi, kişisel verilerinin toplanması ve işlenmesi açısından ciddi riskler doğurmaktadır. Bu konuda ayrıntılı incelemeler yapan Avrupa Komisyonu, "Çocuklar İçin Daha İyi İnternet (BIK)" portalının yenilenen versiyonunu sunmuştur. Portal, çocuklar, ebeveynler, eğitimciler ve politika yapıcılar için çevrim içi güvenlik rehberliği sunmuştur. "Ebeveyn ve Bakıcılar Köşesi" ekran süresi yönetimi ve ebeveyn kontrolleri, "Gençlik Köşesi" ise çevrim içi güvenlik farkındalığını artırmayı hedeflemiştir. Ayrıca, "BIK Bilgi Merkezi" çocukların güvenliği için merkezi bir kaynak sağlamıştır.[20] Bunun yanı sıra, Kurum’un yayımladığı KVKK Bülteni’nin 5. sayısında kişisel verilerin korunmasına yönelik gelişmeler arasında, çocukların verilerini korumaya yönelik broşür ve tavsiyeler, güvenli oyun önerileri ve KVKK Okulda Projesi yer almıştır.[21]

[1]https://www.kvkk.gov.tr/Icerik/7998/Standart-Sozlesme-Metinlerinin-Ingilizce-Cevirisine-Iliskin-Duyuru

[2]https://www.kvkk.gov.tr/Icerik/7980/KAMUOYU-DUYURUSU-Veri-Sorumlulari-Sicili-01082024

[3]https://www.kvkk.gov.tr/Icerik/8033/Verican-Ile-Kisisel-Verileri-Ogreniyorum

[4]https://www.kvkk.gov.tr/Icerik/8043/Standart-Sozlesme-Bildirim-Modulu-Hakkinda-Kamuoyu-Duyurusu

[5]https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/1e53f778-0973-4105-86d9-33b50ed69ce7.pdf

[6]https://www.kvkk.gov.tr/Icerik/8047/Sohbet-Robotlari-ChatGPT-Ornegi-Hakkinda-Bilgi-Notu

[7]https://ico.org.uk/about-the-ico/research-reports-impact-and-evaluation/research-and-reports/technology-and-innovation/ico-tech-futures-quantum-technologies/

[8]https://ia.acs.org.au/article/2024/

[9]https://www.dataprotection.ie/en/news-media/press-releases/irish-data-protection-commission-fines-linkedin-ireland-eu310-million

[10]https://www.kvkk.gov.tr/Icerik/7151/6698-Sayili-Kisisel-Verilerin-Korunmasi-Kanunu-Hakkinda-Dogru-Bilinen-Yanlislar-2

[11]https://www.mondaq.com/turkey/data-protection/1530030/

[12]https://cedpo.eu/data-protection-weekly-27-2024/

[13]https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_1114

[14]https://www.weforum.org/publications/top-10-emerging-technologies-2024/

[15]https://www.consilium.europa.eu/en/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/

[16]8010c4db-6ef8-4c85-aa06-814408921c89_en

[17]https://resmigazete.gov.tr/eskiler/2024/10/20241030M1-1.pdf

[18]https://www.oecd-ilibrary.org/science-and-technology/artificial-intelligence-data-and-competition_e7e88884-en

[19]https://ico.org.uk/media/about-the-ico/documents/4031562/children-s-data-lives-report.pdf

[20]https://digital-strategy.ec.europa.eu/en/policies/strategy-better-internet-kids

[21]https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/35b708d7-449d-417d-87cb-d52f46dd570f.pdf