Kişisel Verilerin Korunması Bülteni - 2025 3. Çeyrek

Türkiye’den Güncel Gelişmeler 

Kişisel Verileri Koruma Kurumu, İnternet Sitelerindeki Çerez Kullanımlarına İlişkin Rehberini Güncelleyerek Yeniden Yayımladı

Kişisel Verileri Koruma Kurum’u (Kurum) daha evvelden Haziran 2022’de yayımladığı Çerez Uygulamaları Hakkında Rehber’inin güncel versiyonunu (Rehber) Temmuz 2025’te güncelledi. Rehber, masaüstü ve mobil web siteleri ile web tabanlı uygulamalarda çerezler aracılığıyla kişisel veri işleyen veri sorumlularına yol göstermeyi amaçlar; bu kapsamda, açık rızanın temini, aydınlatma yükümlülüğünün yerine getirilmesi, çerez türlerinin belirlenmesi ve kişisel verilerin hukuka uygun olarak işlenmesi gibi veri sorumlularının çerez kullanımı sürecinde dikkat etmesi gereken yükümlülükleri kapsamlı biçimde ele alır.

Kurum tarafından güncellenen Rehber’e buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Veri sorumluları, web siteleri ve mobil uygulamalarda kullandıkları çerez politikalarını ve çerez yönetim araçlarını Rehber’in güncel ilkeleri doğrultusunda gözden geçirmeli; açık rıza gerektiren çerez türleri ile aydınlatma metinleri arasında uyum sağlamalıdır. Rıza mekanizmalarının kullanıcı tercihine eşit erişim sağlayacak şekilde tasarlanması ve önceden seçilmiş onay kutularının kaldırılması önem taşımaktadır.

Kurum, Alacaklı Vekilleri Tarafından Borçlu Yakınlarına Ait Kişisel Verilerin İşlenmesine İlişkin Bir Duyuru Yayımladı

Kurum, alacaklı vekillerinin borçlulara ait borç bilgilerini borçluların yakınlarının telefon numaralarına erişerek paylaşmasına ilişkin şikâyetler üzerine yaptığı açıklamada, açık rıza bulunmaması veya 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) öngörülen işleme şartlarının oluşmaması hâlinde bu tür paylaşımların KVKK’ya aykırı kabul edileceğini değerlendirmiştir. Buna göre Kurum, üçüncü kişilere ait kişisel verilerin ancak temel hak ve özgürlüklere zarar vermemek kaydıyla ve KVKK’daki şartlar dâhilinde işlenebileceğini; veri sorumlularının hukuka aykırı erişim ve işleme risklerini önlemek için gerekli teknik ve idari tedbirleri almakla yükümlü olduklarını ve ihlallerin niteliğine göre idari para cezası uygulanabileceğini vurgulamaktadır.

Kurum tarafından yayımlanan kamuoyu duyurusuna buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

2026-2028 Yıllarına İlişkin Orta Vadeli Program Uyarınca KVKK’nın Avrupa Birliği Genel Veri Koruma Tüzüğü ile Uyumlaştırılması Çalışmalarının 2026’da Tamamlanması Hedeflenmektedir

Türkiye’nin kalkınma planı, yıllık program ve merkezi yönetim bütçesi arasındaki hedef, politika ve kaynak bütünlüğünü sağlayarak üç yıllık bir perspektifle makroekonomik politika çerçevesini sunan temel politika niteliğindeki Orta Vadeli Program (2026-2028) 7 Eylül 2025 tarihli ve 33010 sayılı Mükerrer Resmî Gazete’de yayımlandı. Buna göre, KVKK’nın, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumlaştırılmasına yönelik çalışmaların 2026 yılının üçüncü çeyreğinde tamamlanması öngörülmektedir. Plan kapsamında ayrıca; Avrupa Konseyi 108+ Sözleşmesi’ne (CETS No. 223) taraf olunması, Yapay Zekâ Kanunu’nun çıkarılması, yapay zekâ sistemlerine ilişkin çerçeve yönetmeliklerin hazırlanması ve Avrupa Konseyi’nin Yapay Zekâ Sözleşmesi’ne katılım sağlanması hedefleniyor. Ayrıca, Siber Güvenlik Kanunu’nun ikincil düzenlemeleri, Açık Veri Yasası ve ulusal veri stratejisinin oluşturulması da gündemde yer alıyor.

Orta Vadeli Program’a buradan ulaşabilirsiniz.

Ana Faaliyet Konusu Özel Nitelikli Kişisel Veri İşleme Olan Veri Sorumlularının VERBİS Kayıt Yükümlülüğüne İlişkin İstisna Kriteri Değiştirildi

Kişisel Verileri Koruma Kurulu’nun (Kurul) 04.09.2025 tarihli ve 2025/1572 sayılı kararı ile, ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt yükümlülüğüne ilişkin istisna kriteri yeniden düzenlenmiştir. Buna göre, yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon Türk Lirası’nın altında olan veri sorumluları, VERBİS’e kayıt yükümlülüğünden istisna tutulmuştur. Ayrıca, yapılan değişiklikler doğrultusunda veri sorumlularının kayıt ve bildirim süreçlerini kolaylaştırmak amacıyla “VERBİS Kılavuzu” ve “Sorularla VERBİS” dokümanları da güncellenmiştir.

Kurul kararına buradan, güncel VERBİS Kılavuzu’na buradan, güncel Sorularla VERBİS dokümanına buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Kurum, “Kişisel Verilerin Korunmasına Uzman Bakış 2” Başlıklı E-Kitabı’nı Yayımladı

Kurum, kendi bünyesinde hazırlanan 13 adet uzmanlık tezinin derlenmesiyle oluşturulan “Kişisel Verilerin Korunmasına Uzman Bakış 2: Uzmanlık Tezleri Derleme Çalışması” adlı e-kitabı kamuoyu ile paylaştı. Çalışmada; Kurum’un bağımsız idari otorite olarak hukuki konumu, yapay zekâ sistemlerinde unutulma hakkının sınırları, sosyal medya bağlamında çocukların kişisel verileri, karşılaştırmalı hukukta veri koruma otoritelerinin uyguladığı idari para cezaları, Asya-Pasifik bölgesinde veri koruma düzenlemeleri, dijital kimlik mevzuatı, GDPR ve KVKK kapsamında ilgili kişi haklarının karşılaştırılması, meşru menfaat değerlendirmesi, veri ihlali bildirim süreçleri gibi pek çok güncel konuda analizler yer almaktadır.

Kurum’un yayımladığı e-kitaba buradan ulaşabilirsiniz.

Kurul İlke Kararları Kitapçığı Güncellendi

Kurum, Haziran 2025’te Kişisel Verileri Koruma Kurulu İlke Kararları kitapçığının güncellenmiş versiyonunu yayımladı. Güncellenen kitapçıkta, Kurul’un 2017–2021 yılları arasında alınan ve rehberlik hizmeti veren internet siteleri ile uygulamalarda veri güvenliği, banko, gişe, masa gibi hizmet alanlarında kişisel verilerin korunması, personel tarafından yetki aşımıyla veri işlenmesi, reklam içerikli bildirim ve aramalara ilişkin veri işleme faaliyetleri, hukuka aykırı veri sorgulama yazılımları, üçüncü kişilere ait kişisel verilerin paylaşımı ve araç kiralama sektöründeki kara liste uygulamaları konularında aldığı yedi temel İlke Kararı yer almaktadır.

Kurum tarafından yayımlanan e-kitaba buradan ulaşabilirsiniz.

Millî Eğitim Bakanlığı “Yapay Zekâ Etiği Tavsiyeleri” Kitapçığını Yayımladı

Millî Eğitim Bakanlığı (MEB), Eğitimde Yapay Zekâ Politika Belgesi ve Eylem Planı (2025–2029) kapsamında yapay zekâ teknolojilerinin eğitim sistemine güvenli, etik ve sorumlu biçimde entegrasyonuna rehberlik etmek amacıyla “Yapay Zekâ Etiği Tavsiyeleri” adlı e-kitabı yayımladı. Çalışma, eğitim paydaşlarının farkındalığının artırılması, sorumlu kullanım kültürünün geliştirilmesi ve teknolojiye eleştirel bir bakış açısı kazandırılması hedefiyle hazırlandı. Eserde, genel tavsiyelere ek olarak geliştiriciler, üreticiler ve servis sağlayıcılar için Veri Koruma ve Gizlilik, Şeffaflık ve Açıklanabilirlik, İnsan Onayı ve Denetim, Çocuklara Yönelik Güvenlik, Etik ve Pedagojik Uyum, Erişilebilirlik ve Kapsayıcılık, Üçüncü Taraflarla İş Birliği ve Etik Zorunluluk başlıkları altında öneriler yer aldı. Ayrıca öğrenciler, öğretmenler, idareciler ve velilere yönelik özel tavsiyelere de değinildi.

MEB tarafından yayımlanan e-kitaba buradan ulaşabilirsiniz.

Türkiye Büyük Millet Meclisi’nde Avukatlara KVKK Muafiyeti Önerisi Teklifi Sunuldu

2/3268 esas numaralı “6698 sayılı Kişisel Verilerin Korunması Kanunu’nda Değişiklik Yapılmasına Dair Kanun Teklifi”nde (Teklif), avukatların mesleki faaliyetleri sırasında işledikleri kişisel verilerin KVKK m. 28/1-d kapsamında istisna tutulmasını önerildi. Teklif, “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” yönündeki hükme “mesleki faaliyetleri kapsamında avukatlar” ibaresinin eklenmesini öngörmektedir. Bu değişiklik ile, KVKK hükümleri nedeniyle avukatların mesleklerini yerine getirirken kişisel verilere erişimde yaşadıkları güçlüklerin giderilmesi amaçlanmaktadır. Teklif gerekçesinde, bu durumun avukatların savunma görevlerini etkilediği ve dolayısıyla adil yargılanma hakkını zedelediği ifade edilmiştir.

Teklif metnine buradan ulaşabilirsiniz.

Özel Sağlık Sigortaları Yönetmeliği’nde Kişisel Verilere İlişkin Değişiklikler Yapıldı

20 Ekim 2025 tarihli ve 33053 sayılı Resmî Gazete’de yayımlanan Özel Sağlık Sigortaları Yönetmeliği’nde Değişiklik Yapılmasına Dair Yönetmelik ile özel sağlık sigortalarındaki kişisel veri işleme süreçleri KVKK ile uyumlu hâle getirildi. Değişiklik kapsamında, veri işleme, paylaşım ve saklama süreçlerine ilişkin hükümler güncellenirken; sağlık verilerinin işlenme koşulları, sigortalılık sonrasında verilerin saklanma süresi ve sır saklama yükümlülüğüne dair özel düzenlemeler getirildi.

Yönetmelik Değişikliği’nin tam metnine buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Ticari Araçlara Araç Takip Sistemi, Kamera, Kayıt Cihazı ve Acil Durum Butonu Zorunluluğu Getirildi

Karayolları Trafik Yönetmeliği’nde araçlara yönelik teknik zorunluluklara ilişkin önemli değişiklikler, 19 Ağustos 2025 tarihli ve 32991 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Yapılan düzenlemeler ile taksi, dolmuş, şehir içi otobüs, okul ve personel servisi gibi ticari araçlarda araç takip sistemi, kamera, görüntü kayıt cihazı ve acil durum butonu bulundurmak 1 Aralık 2025 itibarıyla zorunlu hale getirildi. Düzenleme, bu araçlarda görüntü, ses ve konum verilerinin sürekli olarak işlenmesini gerektirdiğinden, veri sorumluları açısından KVKK kapsamındaki yükümlülüklerin güçlendiği bir alan yaratmaktadır.

Yönetmelik Değişikliği’nin tam metnine buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Taşımacılık faaliyeti yürüten veri sorumluları, araç içi görüntü ve konum verilerinin işlenmesine ilişkin aydınlatma metni, saklama ve imha politikası gibi uyum belgelerini oluşturmalı/revize etmeli; sistemlerin yalnızca belirli amaçlar doğrultusunda ve ölçülülük ilkesi çerçevesinde çalışmasını temin etmelidir.

Özel Eğitim ve Rehabilitasyon Merkezlerine Biyometrik Kimlik Doğrulama Sistemi Zorunluluğu Getirildi

Millî Eğitim Bakanlığı Özel Eğitim Kurumları Yönetmeliği’nde yapılan değişiklikler, 11 Temmuz 2025 tarihli ve 32953 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Yeni düzenleme ile özel eğitim okulları ile özel eğitim ve rehabilitasyon merkezlerinde, özel gereksinimli bireyler ve eğitim personeline ait ders devam takiplerinin biyometrik kimlik doğrulama sistemi (BKDS) ile yapılması, 1 Aralık 2025 itibarıyla zorunlu hale getirilmiştir. BKDS kapsamında yüz tanıma teknolojisi ile elde edilen veriler, kamera sistemleriyle birlikte en az 90 gün süreyle saklanacaktır.

Düzenleme uyarınca, BKDS aracılığıyla elde edilecek biyometrik veriler, yalnızca ilgili kişilere KVKK kapsamında bilgilendirme yapılmak ve bilgilendirilmiş onam formu alınmak suretiyle işlenebilecektir. Bu sistem üzerinden elde edilen tüm veriler MEB ve kurum kayıtlarında tutulacak; sistemin kurulum, kullanım ve veri güvenliğine ilişkin yükümlülükler kurumlara ait olacaktır.

Yönetmelik değişikliğinin tam metnine buradan ulaşabilirsiniz.

Reklam Kurulu, Uygulama İçi Reklam Bildirimlerinde Tercih Sunulmaması Nedeniyle Trendyol’a Durdurma Cezası Verdi

Reklam Kurulu’nun 2024/4177 sayılı kararında, Trendyol mobil uygulamasında tüketicilere onayları dışında reklam bildirimi gönderildiği; uygulama içinde bildirim tercihlerinin ayrıntılı biçimde yönetilemediği, yalnızca e-posta/SMS/telefon seçeneklerine yer verildiği; pazarlama amaçlı uygulama bildirimlerinin ise yalnızca cihaz ayarlarından kapatılabildiği tespit edilmiştir. Bu durumun, tüketicinin karar verme iradesini olumsuz etkilediği değerlendirilmiştir.

Reklam Kurulu, söz konusu uygulamanın, Ticari Reklam ve Haksız Ticari Uygulamalar Yönetmeliği ekinde yer alan aldatıcı arayüz/karar yönlendirme yasağına (Ek A, 22. bent) aykırı olduğu ve tanıtımların ortalama tüketici nezdinde yanıltıcı nitelik taşıdığı gerekçesiyle ticari uygulamaların durdurulmasına karar vermiştir.

Kararın yayımlandığı Reklam Kurulu Basın Bülteni’ne buradan ulaşabilirsiniz.

Dünya’dan Güncel Gelişmeler

Veri Yasası 12 Eylül 2025 İtibarıyla Uygulanabilir Hale Geldi

13 Aralık 2023 tarihinde kabul edilen ve 11 Ocak 2024 tarihinde yürürlüğe giren verilere adil erişim ve verilerin kullanımına ilişkin uyumlulaştırılmış kurallar hakkında (AB) 2023/2854 Sayılı Tüzük (Veri Yasası veya Data Act) maddelerinin büyük bir kısmı, 12 Eylül 2025 tarihi itibarıyla uygulanabilir hale geldi. Veri Yasası, Avrupa Birliği içinde bağlantılı ürünler ve bunlarla ilişkili hizmetler tarafından üretilen verilere adil erişim ve bu verilerin kullanımına ilişkin kurallar getirmektedir.

Bu tarih itibarıyla, veri erişimi, veri paylaşımı, bulut hizmeti sağlayıcısının değiştirilmesi ve sözleşmesel adil uygulamalara ilişkin temel yükümlülükler yürürlüğe girmiştir. Düzenleme, kullanıcıların güçlendirilmesini, yeniliğin teşvik edilmesini ve ticari sırlar ile hukuka aykırı üçüncü ülke veri taleplerine karşı güvencelerin sağlanmasını amaçlamaktadır. Veri Yasası, dijital ekosistem genelinde güvenli ve sorumlu veri kullanımını destekleyerek GDPR’ı tamamlayıcı nitelik taşımaktadır.

Veri Yasası’nın İngilizce metnine buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Veri sorumluları, Veri Yasası’nın adil erişim ve taşınabilirliğe ilişkin gereklilikleriyle uyumun sağlanması amacıyla veri paylaşımı sözleşmeleri ile bulut hizmeti düzenlemelerini değerlendirmelidir. Teknik ekipler, paylaşım yükümlülüğü kapsamındaki veri setlerini haritalandırmaya başlamalı ve ticari sırlar ile gizli bilgilerin korunmasına yönelik gerekli kontrolleri uygulamaya koymalıdır.

Avrupa Erişilebilirlik Yasası 28 Haziran 2025 Tarihi İtibarıyla Uygulanabilir Hale Geldi

28 Haziran 2025 tarihi itibarıyla, ürün ve hizmetlerin erişilebilirlik gerekliliklerine ilişkin (AB) 2019/882 sayılı Direktif (Avrupa Erişilebilirlik Yasası veya EAA) uygulanabilir hale geldi. Düzenleme, temel dijital ürün ve hizmetler sunan özel sektör işletmeleri için uyumlaştırılmış gereklilikler getirerek, tüketicilerin teknolojiye eşit koşullarda erişim hakkını güçlendirmektedir. Ayrıca, coğrafi konumdan bağımsız olarak, Avrupa Birliği kullanıcılarını hedefleyen tüm kuruluşlara uygulanmaktadır.

EAA; e-kitap okuyucular, bilgisayarlar, biletleme platformları ve self-servis terminalleri gibi ürün ve hizmetleri kapsamakta olup, özellikle işlem temelli internet siteleri ve uygulamaların erişilebilir olmasını zorunlu kılmaktadır. Başlıca yükümlülükler arasında erişilebilir arayüzler, kapsayıcı müşteri desteği ve güncellenmiş erişilebilirlik beyanları yer almaktadır. Üye Devletler uygulama konusunda belirli bir esnekliğe sahip olmakla birlikte, yükümlülüklere uyulmaması durumunda mali yaptırımlar veya hizmet kısıtlamaları ile karşılaşılması mümkündür.

EAA’nın İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Birliği Yapay Zekâ Tüzüğü’nün Genel Amaçlı Yapay Zekâ Modellerine İlişkin Hükümleri Yürürlüğe Girdi ve Avrupa Komisyonu Uygulama Kuralları’nın Nihai Versiyonunu Yayımladı

2 Ağustos 2025 tarihi itibarıyla, Avrupa Birliği Yapay Zekâ Tüzüğü’nün (Yapay Zekâ Tüzüğü) Beşinci Bölümünde düzenlenen Genel Amaçlı Yapay Zekâ (GPAI) modellerine ilişkin hükümler uygulanabilir hale geldi. Bu hükümler, GPAI sağlayıcıları için dokümantasyon ve şeffaflık yükümlülükleri, eğitim içeriğinin kamuya açık bir özetinin yayımlanması, Avrupa Birliği telif hakkı kurallarına uyum, sistemik risk yönetimi önlemleri, Avrupa Birliği ve ulusal otoritelerle iş birliği yapılması ve Avrupa Birliği dışındaki sağlayıcılar bakımından bir temsilci atanması dâhil olmak üzere çeşitli yükümlülükler getirmektedir.

Bu yükümlülükleri desteklemek amacıyla Avrupa Komisyonu, 10 Temmuz 2025 tarihinde GPAI Uygulama Kuralları’nın nihai versiyonunu yayımlamıştır. İhtiyari nitelikteki bu kılavuz, GPAI sağlayıcılarının Yapay Zekâ Tüzüğü kapsamında yakında yürürlüğe girecek yasal gerekliliklerle uyum sağlamalarına yardımcı olacak bir hazırlık çerçevesi işlevi görmektedir. Ayrıca, Avrupa Komisyonu tarafından GPAI sağlayıcılarına yönelik özel bir rehberlik sayfası ve eğitim verisi özetlerinin yayımlanmasına ilişkin bir şablon da kamuya sunulmuştur.

GPAI Uygulama Kuralları’nın İngilizce metnine buradan, GPAI modellerine ilişkin eğitim verisi özetleri şablonunun İngilizce versiyonuna buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Yapay zekâ modelleri geliştiren veya kullanan kuruluşlar, Yapay Zekâ Tüzüğü ve GPAI Uygulama Kuralları ile uyumlu olacak şekilde dokümantasyonlarını, eğitim verisi özetlerini ve telif hakkı uyum süreçlerini gözden geçirmelidir. Avrupa Birliği dışında yerleşik sağlayıcılar ise düzenleyici iletişimin ve risk gözetiminin sağlanması amacıyla bir Avrupa Birliği temsilcisi atamayı değerlendirmelidir.

Avrupa Veri Koruma Denetçisi, Üretken Yapay Zekâya İlişkin Güncellenmiş Rehberini Yayımladı

28 Ekim 2025 tarihinde Avrupa Veri Koruma Denetçisi (EDPS), Avrupa Birliği kurumları, organları, ofisleri ve ajanslarının (AB) 2018/1725 sayılı Tüzük’e (AB Kurumları Veri Koruma Tüzüğü) uyum sağlamalarına yardımcı olmak amacıyla Üretken Yapay Zekâ Hakkında Rehber’in güncellenmiş versiyonunu yayımladı. Güncellenen rehber, üretken yapay zekâ tanımını netleştirmekte, veri sorumluları için bir uyum kontrol listesi sunmakta ve veri sorumluları, ortak veri sorumluları ve veri işleyenler arasındaki rollerin ve sorumlulukların paylaşımına ilişkin açıklamaları detaylandırmaktadır.

EDPS tarafından yayımlanan basın bülteninin İngilizce metnine buradan ulaşabilirsiniz.

Avrupa Komisyonu, Uluslararası Bir Kuruluşa İlişkin İlk Yeterlilik Kararı’nda Avrupa Patent Organizasyonu’nu Tanıdı

15 Temmuz 2025 tarihinde Avrupa Komisyonu, bir uluslararası kuruluşa ilişkin ilk yeterlilik kararını kabul ederek, Avrupa Patent Organizasyonu’nun (EPO) Avrupa Birliği’ndeki düzeye eşdeğer bir veri koruma seviyesi sağladığını kabul etmiştir. (AB) 2025/1382 sayılı Komisyon Uygulama Kararı olarak kabul edilen bu karar, Avrupa Birliği’nden veya Avrupa Ekonomik Alanı’ndan EPO’ya yapılacak kişisel veri aktarımlarının, Standart Sözleşme Maddeleri (SCCs) gibi ek güvencelere gerek duyulmaksızın gerçekleştirilmesine imkân tanımaktadır.

Komisyon’un değerlendirmesi sonucunda, EPO’nun Haziran 2021 tarihli Veri Koruma Kuralları’nın, GDPR kapsamında öngörülen önlemlerle karşılaştırılabilir düzeyde güvenceler sağladığı sonucuna varılmıştır.

Komisyon Kararı’nın İngilizce metnine buradan ulaşabilirsiniz.

Hollanda Veri Koruma Otoritesi, Otomatik Karar Alma Süreçlerinde Anlamlı İnsan Müdahalesine İlişkin Rehber Yayımladı

23 Temmuz 2025 tarihinde Hollanda Veri Koruma Otoritesi (AP), otomatik sistemler kullanılarak verilen kararlarda “anlamlı insan müdahalesinin” sağlanmasına ilişkin yeni bir rehber yayımladı. Rehber, insan müdahalesinin yalnızca sembolik olmaması, kararın sonucunu gerçekten etkileyebilecek nitelikte olması gerektiğini vurgulamaktadır. Ayrıca, kararları gözden geçirmekle görevlendirilen kişilerin rollerini etkin biçimde yerine getirebilmeleri için yeterli bilgiye, yetkiye ve zamana sahip olmaları gerektiğini belirtmektedir. AP, pratik araçlar ve örnek sorular aracılığıyla, kuruluşların yapay zekâ temelli karar alma süreçlerinde anlamlı insan müdahalesinin hayata geçirilmesi ve güçlü bir insan gözetimi mekanizmasının oluşturulması için kuruluşlara pratik destek sunmayı amaçlamaktadır.

AP tarafından yayımlanan rehberin İngilizce metnine buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Otomatik karar alma süreçlerine dayanan kuruluşlar, insan gözetiminin yalnızca biçimsel değil, gerçekten etkili olmasını sağlamak amacıyla yönetim çerçevelerini gözden geçirmelidir. Otomatik sonuçları gözden geçirmek veya geçersiz kılmakla görevlendirilen kişilerin, AP Rehberi ile uyumlu olarak, bağımsız değerlendirme yapabilmeleri için eğitilmeleri, yetkilendirilmeleri ve yeterli zamana sahip olmaları gerekmektedir.

Avrupa Birliği Adalet Divanı, Takma Ad Kullanılarak İşlenen Verilerin Ne Zaman “Kişisel Veri” Sayılacağını Netleştirdi

Avrupa Birliği Adalet Divanı (CJEU), Tekil Tasfiye Kurulu (SRB) ile Avrupa Veri Koruma Denetçisi (EDPS) arasındaki davada verdiği önemli bir kararla, bilgilerin hangi durumlarda kişisel veri olarak değerlendirileceğini ve ilgili kişilerin verilerinin kullanımı hakkında nasıl bilgilendirilmesi gerektiğini açıklığa kavuşturmuştur. 4 Eylül 2025 tarihli C-413/23 P sayılı kararında CJEU, SRB tarafından Deloitte’a aktarılan takma ad kullanılarak işlenmiş verilerin kişisel veri niteliğinde olduğuna hükmetmiştir. CJEU, bu verilerin bir kişinin görüşlerini yansıttığı ve kimliğiyle ilişkilendirilebildiği için kişisel veri kapsamında değerlendirilmesi gerektiğini belirtmiştir. Ayrıca CJEU, alıcının kimliği belirleyici bilgilere erişiminin bulunmadığı hâllerde dahi, veri sorumlusunun söz konusu verileri ilgili kişilerle ilişkilendirebilmesi durumunda bu verilerin kişisel veri olarak kabul edilmesi gerektiğini vurgulamıştır. Kararda, SRB’nin, Deloitte’un ilgili kişileri doğrudan tanımlayamasa bile, verilerin Deloitte ile paylaşılabileceği konusunda ilgili kişileri bilgilendirmekle yükümlü olduğu açıkça ifade edilmiştir.

CJEU Kararı’nın İngilizce metnine buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Veri sorumluları, geçmişte anonimleştirilmiş veya takma ad kullanılarak işlendiği değerlendirilen veri setlerinin, ilgili kişilerle dolaylı biçimde ilişkilendirilebildiği hallerde fiilen kişisel veri niteliği kazanıp kazanmadığını yeniden değerlendirmelidir. Alıcıların ilgili kişileri doğrudan tanımlayamaması durumunda dahi, veri paylaşımı faaliyetleri hakkında ilgili kişilere doğru ve yeterli bilgilendirme yapılması büyük önem taşımaktadır.

Avusturya Federal İdare Mahkemesi, IKEA’ya Hukuka Aykırı ve Orantısız Kamera Kaydı Nedeniyle Verilen 1,5 Milyon Avro Para Cezasını Onadı

Avusturya Federal İdare Mahkemesi (BVwG), IKEA’ya bir mağazasında hukuka aykırı ve orantısız kamera kaydı yaptığı gerekçesiyle verilen 1.500.000 Avro tutarındaki para cezasını onadı. Kamera sisteminin müşterilerin ödeme işlemleri sırasında PIN kodu girişlerini de içerecek şekilde görüntülerini kaydettiği tespit edildi. Mahkeme, geçerli bir hukuki dayanak olmaksızın ve veri minimizasyonu ilkesine aykırı biçimde gerçekleştirilen bu işlemle GDPR hükümlerinin ihlal edildiğine hükmetti. Ayrıca şirketin, uygun teknik ve idari önlemleri almadan kameraları çalıştırması ve bilinen uyumsuzlukları gidermemesi nedeniyle ağır ihmalle hareket ettiğini belirledi. IKEA’nın yıllık cirosunun yalnızca %0,21’ine karşılık gelen para cezası, ihlalin kapsamı ve ağırlığı dikkate alındığında orantılı bulundu.

BVwG tarafından verilen kararın İngilizce metnine buradan ulaşabilirsiniz.

İtalyan Denetim Otoritesi, Disiplin Süreçlerinde Özel Yazışma İçeriğini Kullanan İşverene Yaptırım Uyguladı

İtalyan Denetim Otoritesi (İtalyan SA), işverenlerin çalışanların özel mesajlaşma ve sosyal medya içeriklerini disiplin süreçlerinde kullanmalarını sınırlandıran önemli bir karar yayımladı. Söz konusu dava, işverenin çalışanın WhatsApp ve Facebook mesajlarına erişerek çalışan tarafından şirkete yönelik eleştirilerin yer aldığı yazışmaları incelemesi üzerine iş akdini feshetmesiyle ilgilidir. İtalyan SA, bu tür özel yazışmaların toplanması ve kullanılmasının, hukuka uygunluk, amaçla sınırlılık ve veri minimizasyonu ilkelerini ihlal ettiğine karar verdi. İtalyan SA, çevrim içi ortamda erişilebilir durumda bulunan kişisel verilerin her amaç için serbestçe kullanılamayacağını ve kısıtlı gruplar içinde paylaşılan bilgilerin dahi makul bir gizlilik beklentisine tabi olduğunu vurguladı. Şirkete 420.000 Avro tutarında para cezası uygulanırken, işverenin meşru menfaatinin, çalışanın özel yazışmalarındaki özel hayatın gizliliği hakkı üzerinde üstünlük oluşturamayacağı özellikle belirtildi.

İtalyan SA tarafından verilen kararın İngilizce özetine buradan ulaşabilirsiniz.

Neler Yapılabilir?

• İşverenler ve insan kaynakları birimleri, çalışanların özel mesajlarının disiplin süreçlerinde işlenmesinden kaçınmalı ve hukuka uygunluk, amaçla sınırlılık ve veri minimizasyonu ilkelerine uyumun sağlanması amacıyla iletişim kaynaklarını denetleme ve izleme politikalarını gözden geçirmelidir.

Bülteni pdf formatında indirmek için tıklayınız.