• Kişisel Verileri Koruma Kurumu (“Kurum”), web sitesinde yeni veri ihlali bildirimleri yayımladı. Bu kapsamda, çeşitli sektörlerden kurum ve kuruluşlar tarafından bildirilen veri ihlalleri şu şekilde sıralandı: Zello Inc., Anıl Özel Sağlık Hizmetleri Turizm Ticaret Limited Şirketi (Özel Hisar Tıp Merkezi), Karadeniz Holding A.Ş., Trabzon Üniversitesi Rektörlüğü, Organik Haberleşme Teknolojileri Bilişim Sanayi Ticaret Limited Şirketi, Afyon Kocatepe Üniversitesi, Asilkar Hızlı Kargo Taşımacılık Ticaret Anonim Şirketi.Kişisel verilerin korunması konusunda farkındalık yaratmayı ve veri sahiplerini bilgilendirmeyi amaçlayan Kurum, ihlalleri titizlikle takip etmeye devam ediyor.

• Kurum, kişisel verilerin yurt dışına aktarımında dikkat edilmesi gereken hususlarla ilgili önemli bir duyuru yayımladı. 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesi, yurt dışına veri aktarımı için kullanılan standart sözleşmelerin imzalanmasının ardından beş iş günü içinde Kurum'a bildirilmesi gerektiğini belirtiyor. Kurum, standart sözleşmelerin geçerliliği için yetkili kişilerce imzalanmasının zorunlu olduğuna ve bu imzaların Türk Borçlar Kanunu'na uygun olması gerektiğine dikkat çekiyor. Ayrıca, kişisel veri aktarımı bağlamında uygun standart sözleşme tipi belirlendikten sonra yalnızca seçimlik veya alternatif içerikli standart sözleşme maddeleri üzerinde değişiklik yapabilmenin mümkün olduğunu hatırlatan Kurum, bu maddeler dışında standart sözleşme metinleri üzerinde herhangi bir ekleme, çıkarma veya değişiklik yapılmaması gerektiğini belirtiyor. [1]

• Kişisel Verilerin Korunması Kanunu ve 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu çerçevesinde, arabuluculara yönelik önemli bir açıklama yapıldı. 6325 sayılı Kanun'un 11. maddesine göre, arabulucu, arabuluculuk faaliyetinin başında tarafları sürecin esasları, sonuçları ve süresi hakkında aydınlatmakla yükümlüdür. Ancak, bu yükümlülük, kişisel verilerin korunmasına ilişkin 6698 sayılı Kanun'un 10. maddesindeki aydınlatma yükümlülüğü ile farklılık göstermektedir. İlgili kamuoyu duyurusunda, kişisel verileri işleme bakımından veri sorumlusu sıfatını taşıyan arabulucuların, yalnızca arabuluculuğun esasları ve süreci hakkında bilgi vermelerinin, 6698 sayılı Kanun’da düzenlenen aydınlatma yükümlülüğünün yerine getirildiği anlamına gelmediği, Kanun’un 10. maddesinde sayılan hususlarda ilgili kişilere ayrıca bilgi verilmesi suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerektiği vurgulanmıştır.[2]

• Kişisel Verileri Koruma Kurumu (KVKK), bankacılık sektörüne yönelik olarak hazırladığı “Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi”nin güncellenmiş versiyonunu yayımladı. Rehber, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yapılan değişiklikler doğrultusunda, bankacılık sektöründe faaliyet gösteren kuruluşların, kişisel verilerin işlenmesi ve korunması süreçlerini mevzuata uygun şekilde yürütmelerine rehberlik etmek amacıyla hazırlandı. Bu kapsamda rehberde, bankaların mevzuat hükümlerine uygun hareket edebilmeleri için uymaları gereken usul ve esaslar ile yerine getirilmeleri gereken yükümlülükler, iyi uygulama örnekleri aracılığıyla somut bir şekilde ortaya konuldu.[3]

• Aile ve Sosyal Hizmetler Bakanlığı Veri Paylaşım Yönetmeliği 15.02.2025 tarihli 32814 sayılı Resmi Gazete’de Yayınlandı. Bu yönetmelik, Aile ve Sosyal Hizmetler Bakanlığının hizmet sunumuna ilişkin Merkezi Veri Tabanında yer alan kişisel verilerin; kamu kurumları, uluslararası kurumlar, yerel yönetimler ve veri paylaşımı talep eden gerçek veya tüzel kişilerle nasıl paylaşılacağını, paylaşımın kapsam ve yöntemlerini, ayrıca Veri Paylaşım Kurulunun çalışma usul ve esaslarını belirliyor. Yönetmelik gereği, Merkezi Veri Tabanında tutulan veriler, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun olarak, Kurul tarafından onaylanan paylaşım yöntemi ile alıcı kurum veya diğer kişiler ile paylaşılabilecek. Yönetmelik’in 16. maddesinin birinci fıkrası uyarınca, alıcı kurum ve diğer kişiler, Genel Müdürlükten aldıkları verilerin yetkisiz kişilerin erişimine veya kullanımına karşı korunmasından ve bu durumdan kaynaklanacak hukuki, cezai yaptırımlar ve mali zararların tazmininden sorumlu olacaklardır.[4]

• Avrupa Veri Koruma Kurulu (EDPB), 2025 Ocak ayında yayımladığı rehberle, takma ad kullanımının (psödönimleştirme), veri koruma yükümlülüklerini yerine getirmek için nasıl etkili bir güvenlik önlemi olabileceğini açıkladı. Rehbere göre, ek bilgiler kullanılarak bir bireye atfedilebilen psödönimleştirilmiş veriler, yine de tanımlanabilir bir gerçek kişiye ilişkin olduklarından, kişisel veri kabul edilmektedir. Bu yöntemin, GDPR 6/1(f)’deki işleme faaliyetinin hukuka uygunluğu düzenlemesi bağlamında meşru menfaat dayanağını kolaylaştırabileceği ve veri koruma gereklilikleriyle uyumu artırabileceği vurgulanıyor. Ayrıca, rekabet hukuku ve veri koruma hukuku arasındaki etkileşimi ele alan EDPB, bu iki alanın birbirine entegre edilmesi gerektiği ve veri koruma kurallarının rekabet değerlendirmelerinde de dikkate alınması gerektiğini ifade etti. Rehber, 28 Şubat 2025’e kadar kamuoyuna açık olacak ve paydaşların yorum yapabilmesine olanak tanınacak.[5]

• 08.01.2025 tarihli ve 32776 sayılı Resmî Gazete’de yayımlanan 177 sayılı Cumhurbaşkanlığı Kararnamesi ile "Siber Güvenlik Başkanlığı" kuruldu. Başkanlığın görevleri arasında; siber güvenliğin sağlanmasına yönelik politika ve stratejiler belirlemek, siber güvenlik farkındalığını artırmak için eğitimler düzenlemek, kamu, özel sektör ve üniversiteler arasındaki iş birliğini güçlendirmek yer alıyor. Ayrıca, yerli girişimcilerin dünya pazarında rekabetçi konuma gelmesine yönelik çalışmalar yapılacak. Başkanlık, siber güvenlik alanındaki Ar-Ge ve teknoloji transferlerini gerçekleştirmesinin yanı sıra, siber güvenlik zafiyetlerinin tespiti, acil durum planları ve ortak operasyon merkezlerinin kurulması gibi önemli çalışmalara da öncelik verecek.[6]

• TBMM Milli Savunma Komisyonu, 21 maddelik Siber Güvenlik Kanunu teklifine ilişkin raporunu yayımladı. 8 Ocak 2025'te Cumhurbaşkanlığı'na bağlı Siber Güvenlik Başkanlığı'nın kurulmasının ardından, 10 Ocak'ta Komisyona sunulan teklif, 15 Ocak'ta kabul edilmişti. 22 Ocak 2025 tarihli raporda, kanunun genel gerekçesi, madde gerekçeleri, komisyonda kabul edilen metin ve muhalefet şerhleri gibi başlıklara yer verildi. Kanun teklifinde, siber güvenlik ile ilgili çeşitli yaptırımlar öngörülüyor. Özellikle, siber saldırı ve veri sızdırılması gibi eylemler için 15 yıla kadar hapis cezası, mevzuata aykırı davranışlar için ise 100 milyon TL'ye kadar idari para cezası verilmesi planlanıyor. Denetim yükümlülüklerine uymayanlara ise ciroya dayalı cezalar uygulanacak.[7]

• Google Cloud, 2025 Yapay Zeka İşletme Trendleri Raporu’nu yayımladı. Rapora göre, 2025 yılı itibariyle, yapay zeka güvenlik sistemlerinin geliştirilmesi alanında devrim yaratacak. Savunmalar daha güçlü hale gelirken, tehditler daha hızlı tespit edilip etkisiz hale getirilebilecek ve manuel güvenlik görevleri otomatikleştirilecek. Fakat bu gelişmelerin savunucular ve saldırganlar arasında yeni bir "silahlanma yarışı"na yol açabileceği düşünülüyor. Saldırganların, daha karmaşık saldırılar için yapay zekayı kullanması halinde kurumların güvenliklerini güçlendirmek adına proaktif önlemler alması gerekecek. Ayrıca, finansal kurumların, sahte belgeleri tespit etmek amacıyla yapay zekadan faydalanabileceği belirtiliyor. Medya ve eğlence sektörünün, yanlış bilgilere karşı mücadele etmek için yapay zeka destekli çözümler geliştirmesi de tahminler arasında.[8]

• Sermaye Piyasası Kurulu (SPK) ile Kişisel Verileri Koruma Kurumu (KVKK) arasında "İşbirliği ve Bilgi Paylaşımı Protokolü" imzalandı. İmza töreninde yapılan konuşmalarda, sermaye piyasası faaliyetlerinde kişisel verilerin korunmasının ve işlenmesinin giderek daha önemli hale geldiği vurgulandı. Protokol çerçevesinde, her iki kurum arasında koordinasyon çalışmalarını güçlendirmek ve bilgi paylaşımını artırmak amacıyla bir Koordinasyon Komitesi kurulması planlanıyor. Ayrıca, protokolle birlikte kişisel verilerin korunması, veri güvenliği ve mahremiyeti konularında ortak projelerin yürütülmesi, mesleki eğitimlerin düzenlenmesi, yayınlar hazırlanması ve farkındalık artırıcı etkinliklerin gerçekleştirilmesi hedeflenmekte. Bu işbirliğinin, sermaye piyasalarına olan güveni artırması ve yatırımcıların korunmasına katkı sağlaması bekleniyor.[9]

• İtalya’da Kişisel Verileri Koruma Kurumu (Garante), çocukların sosyal medyada dijital mahremiyetini koruyabilmek amacıyla 14 yaş altındaki çocukların fotoğraflarının paylaşılabilmesi için, çocuğun velayetinin ortak olması durumunda bile, hem annenin hem de babanın onayının alınmasının zorunlu olduğunu vurguladı. Bir annenin şikayeti üzerine Garante tarafından yapılan inceleme sonucunda, çocuğun fotoğrafının annesinin izni olmadan babası tarafından Facebook’ta paylaşılmasının hukuka aykırı olduğu ve çocukların dijital mahremiyetini ihlal ettiğine karar verildi. Garante, benzer emsal kararların bulunmadığını göz önünde bulundurarak, anne ve babanın her ikisinin de izni olmadan çocuğun fotoğrafının paylaşılmasının yasaklanmasına karar verdi.[10]

• Kaza sonrası mağdurların kişisel verilerini hukuka aykırı şekilde toplayan bir hasar danışmanlık şirketine Kişisel Verileri Koruma Kurumu (KVKK) tarafından 300 bin lira idari para cezası verildi. Şirketin, kaza tutanakları aracılığıyla mağdurların iletişim bilgilerine ulaşarak, tazminat süreci için çeşitli vaatlerde bulunduğu tespit edildi. Şikayet üzerine yapılan incelemede, bu firmaların kişisel verileri izinsiz şekilde elde ettikleri ve mağdurları yanıltarak tazminatlarının büyük kısmını kendilerine ayırdıkları belirlendi. Türkiye Sigortalar Birliği yetkilileri, kişisel verilerin korunması için sigorta şirketlerinin güvenilir olduğunu ve kazazedelerin doğrudan bu şirketlerle iletişime geçmesinin en doğru yol olduğunu belirtti.[11]

• İsveç Veri Koruma Otoritesi (IMY), Avanza Bank’a 1.320.000 Euro ceza verdiği kararında bankanın Meta pikselleri aracılığıyla kişisel verileri izinsiz bir şekilde Meta'ya aktarmasını ciddi bir veri ihlali olarak değerlendirdi. Avanza Bank’ın platformlarında kullanılan Meta pikseli’nin yanlışlıkla etkinleştirilen fonksiyonları nedeniyle 500.000 ila 1 milyon kişiye ait hassas verilerin (ad, soyad, e-posta, mevcut kredi bilgileri, hesap numaraları gibi) Meta'ya aktarıldığı tespit edildi. IMY, Avanza Bank’ın iç kontrol eksiklikleri olduğunu ve prosedürlere uymadığı için yükümlülüklerini yerine getirmediğini belirtti. Bankacılık sektöründeki ek gizlilik yükümlülükleri bu ihlalin ciddiyetini artırırken, ilgili karar da, veri sorumlularının takip teknolojilerini dikkatle yönetmesi, iç denetimleri etkin bir şekilde uygulaması ve sektörel gizlilik yükümlülüklerine tam uyum sağlaması gerektiğini vurguluyor.[12]

• E-ticaret hacminin hızla büyümesiyle birlikte, kargo şirketlerine verilen kişisel verilerin güvenliği tartışma konusu oldu. KVKK tarafından yayımlanan makalede, kargo paketlerindeki barkodların alıcıların adı, soyadı, adresi, telefon numarası ve T.C. kimlik numarası gibi hassas bilgilerini açığa çıkardığı ve kötü niyetli kişilerin bu verilere erişebildiği belirtildi. Barkodlara alternatif olarak QR kod kullanımını öneren makale, böylece yalnızca kargo görevlilerinin erişebileceği bir sistemle veri güvenliğinin sağlanabileceğine vurgu yapıyor. Alıcı adı yerine kullanıcı kodu kullanımı ve uçtan uca şifreleme de öneriler arasında. Makalede ayrıca, kişisel veri ihlallerine yönelik cezaların caydırıcı olmadığı ve cezaların artırılması gerektiği vurgulandı. Geçtiğimiz yıl bir kargo çalışanının müşteri bilgilerini kötüye kullanarak taciz mesajları göndermesi sonucu, kargo şirketine 250 bin TL ceza uygulanmıştı.[13]

• Apple, ülkedeki tüm iPhone kullanıcılarının verilerine erişebilmek isteyen İngiltere hükümetinin arka kapı (backdoor) talebini kabul ederek tarihte bir ilke imza attı. İngiliz istihbaratının isteği üzerine, iCloud sistemlerindeki şifrelemeyi devre dışı bırakan Apple, İngiltere'deki kullanıcılar için üst düzey veri koruma özelliğini kaldırdı. Normalde, Apple'ın dünya çapındaki kullanıcıları için sunduğu Gelişmiş Veri Koruması (ADP) sayesinde veriler uçtan uca şifreleniyordu. İngiltere hükümetinin, kullanıcı verilerine erişim hakkı kazanmasını sağlayan bu durumun, özellikle ABD'deki yetkililer tarafından tepki toplayacağı öngörülürken, sektör uzmanları, bu hamlenin gizliliğe ciddi tehdit oluşturduğuna dikkat çekiyor. Karar geri alınmazsa, başka devletler ve şirketler de benzer taleplerle karşı karşıya kalabilir.[14]

• Kişisel Verileri Koruma Kurumu (KVKK), Instagram'ın sahibi Meta'ya, çocukların kişisel verilerini ihlal ettiği gerekçesiyle 11 milyon 500 bin lira idari para cezası uyguladı. İncelemeler, 18 yaş altı kullanıcıların gizli hesaplarının işletme hesabına dönüştürülmesi sonucu kişisel verilerinin kamuya açılması ve çocukların çevrim içi ortamlardaki risklere daha açık hale gelmesi üzerine başlatıldı. İnceleme sonucu, Instagram işletme hesaplarındaki e-posta adresi ve telefon numarası bilgilerinin Instagram'ın HTML kaynak kodunda yer aldığı ve bu bilgilerin herkes tarafından toplanabilir hale geldiği tespit edildi. Bu durum, çocuk kullanıcıların çevrim içi ortamda karşılaşabilecekleri risklere karşı savunmasız kalmalarına yol açıyordu. Meta’ya verilen bu ceza, çocukların kişisel verilerinin korunmasına yönelik önemli bir adım olarak değerlendiriliyor.[15]

• Güney Kore, DeepSeek adlı Çinli yapay zeka girişiminin kullanıcı verilerini TikTok'un sahibi ByteDance ile paylaştığını iddia etti. Ülke, veri güvenliği endişeleri nedeniyle DeepSeek’i uygulama mağazalarından kaldırmıştı. Güney Kore'nin Kişisel Verileri Koruma Komisyonu (PIPC), DeepSeek'in gizlilik politikasındaki şeffaflık eksiklikleri ile üçüncü taraf veri transferlerinden kaynaklanan trafik tespit ettiklerini belirterek DeepSeek’in ByteDance ile iletişim kurduğunu doğruladı. Kısa süre içinde dünyanın dört bir yanında popülerleşen uygulama, ülke tarafından uygulama mağazalarından çekilmeden önce bir milyondan fazla kez indirilmişti. Avustralya ve Tayvan gibi birkaç ülkenin ardından DeepSeek'i hükümet cihazlarından yasaklayan Güney Kore, kullanıcılara kişisel verilerini paylaşırken dikkatli olmalarını tavsiye etti.[16]

• Milli İstihbarat Teşkilatı (MİT), avukatlara özel olarak geliştirilen ve vatandaşların kişisel verilerine yasa dışı erişim sağlayan yazılıma karşı büyük bir siber casusluk operasyonu başlattı. MİT'in koordinesinde, Jandarma Genel Komutanlığı ve Ulusal Siber Olaylara Müdahale Merkezi (USOM) ile yürütülen operasyonda, "Avatar" ve "Adalet" adlı yazılımların yüzlerce avukat tarafından kullanıldığı ortaya çıktı. Yazılımın, UYAP (Ulusal Yargı Ağı Projesi) ile entegre olduğu iddialarıyla geniş bir kullanıcı ağına ulaştığı ve vatandaşların kişisel verilerine hukuka aykırı erişim sağlandığı belirlendi. Operasyon kapsamında yazılımın geliştiricisi ve yöneticilerinin de aralarında bulunduğu 5 kişi tutuklandı. Finansal bağlantıların incelenmesi, hukuka aykırı faaliyetlerin ekonomik boyutlarının ortaya çıkarılması ve suç gelirlerinin tespit edilerek engellenmesi amacıyla, Mali Suçları Araştırma Kurulu (MASAK) da soruşturmaya dahil edildi.[17]

[1]https://www.kvkk.gov.tr/Icerik/8170/Yurt-Disina-Kisisel-Veri-Aktariminda-Kullanilacak-Standart-Sozlesmelerde-Dikkat-Edilmesi-Gereken-Hususlara-Iliskin-Kamuoyu-Duyurusu

[2]https://www.kvkk.gov.tr/Icerik/8151/-Arabuluculuk-Faaliyetleri-Kapsaminda-Aydinlatma-Yukumlulugunun-Yerine-Getirilmesine-Iliskin-Kamuoyu-Duyurusu-

[3]https://kvkk.gov.tr/SharedFolderServer/CMSFiles/12236bad-8de1-4c94-aad6-bb93f53271fb.pdf

[4]https://www.resmigazete.gov.tr/eskiler/2025/02/20250215-1.htm

[5]https://www.edpb.europa.eu/news/news/2025/edpb-adopts-pseudonymisation-guidelines-and-paves-way-improve-cooperation_en

[6]https://www.resmigazete.gov.tr/eskiler/2025/01/20250108-1.pdf

[7]https://cdn.tbmm.gov.tr/KKBSPublicFile/D28/Y3/T2/DosyaKomisyonRaporunuVerdi/0a552c17-b237-40a6-bca9-369ce58c50ee.pdf

[8]https://blog.google/products/google-cloud/ai-trends-business-2025/

[9]https://www.aa.com.tr/tr/ekonomi/spk-ile-kvkk-arasinda-isbirligi-ve-bilgi-paylasimi-protokolu-imzalandi/3444535

[10]https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10076607#3

[11]https://www.gazeteduvar.com.tr/kaza-magdurlarinin-verilerini-elde-eden-firmaya-para-cezasi-verildi-haber-1741986

[12]https://www.imy.se/globalassets/dokument/beslut/2024/beslut-tillsyn-avanza.pdf

[13]https://bigpara.hurriyet.com.tr/haberler/ekonomi-haberleri/kvkkdan-kargo-etiketi-uyarisi-kisisel-bilgiler-risk-altinda_ID1606092/

[14]https://www.bbc.com/news/articles/cgj54eq4vejo

[15]https://www.aa.com.tr/tr/gundem/kvkkden-instagramin-sahibi-metaya-cocuk-hesaplari-cezasi/3421186

[16]https://www.bbc.com/news/articles/c4gex0x87g4o

[17]https://www.ntv.com.tr/turkiye/son-dakika-haberi-mitten-siber-casusluk-operasyonu-5-supheli-tutuklandi,jfeD1s0tbkSf5dR4Y-qlsA