ARTICLE
19 February 2025

Esin DigiDiary (Turkish)

EA
Esin Attorney Partnership

Contributor

Esin Attorney Partnership logo
Esin Attorney Partnership, a member firm of Baker & McKenzie International, has long been a leading provider of legal services in the Turkish market. We have a total of nearly 140 staff, including over 90 lawyers, serving some of the largest Turkish and multinational corporations. Our clients benefit from on-the-ground assistance that reflects a deep understanding of the country's legal, regulatory and commercial practices, while also having access to the full-service, international and foreign law advice of the world's leading global law firm. We help our clients capture and optimize opportunities in Turkey's dynamic market, including the key growth areas of mergers and acquisitions, infrastructure development, private equity and real estate. In addition, we are one of the few firms that can offer services in areas such as compliance, tax, employment, and competition law — vital for companies doing business in Turkey.
Explore Firm Details
Kişisel verilerin yurt dışına aktarılması başta olmak üzere, 12 Mart 2024 tarihinde Kişisel Verilerin Korunması Kanunu'nda ("Kanun")...
Turkey Privacy
Can Sozer,Ecem Elver,Yigit Acar
+7 Authors
 Your Author LinkedIn Connections

Kişisel Verilerin Korunması

Kişisel Verilerin Yurt Dışına Aktarılması Rehberi Yayımlandı

Kişisel verilerin yurt dışına aktarılması başta olmak üzere, 12 Mart 2024 tarihinde Kişisel Verilerin Korunması Kanunu'nda ("Kanun") kabul edilen değişiklikler ("Değişiklikler") ve Kişisel Verileri Koruma Kurumu ("Kurum") tarafından yayımlanan Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik'in ("Yönetmelik") ardından, Kurum'un Değişiklikler'in uygulanmasına ilişkin soru işaretlerini gidermek için bir rehber yayımlaması bekleniyordu. Bu çerçevede, Kurum, 2 Ocak 2025 tarihinde, Kişisel Verilerin Yurt Dışına Aktarılması Rehberi'ni ("Rehber") internet sitesinde yayımladı. Rehber'de, Değişiklikler'in yorumlanmasına ilişkin olarak uygulamaya ilişkin çeşitli örnekler dahil olmak üzere, (i) Değişiklikler'in amacı ve gerekçesi, (ii) hangi aktarımların Kanun madde 9 uyarınca yurt dışına aktarım olarak kabul edildiği, (iii) standart sözleşmeler ("SS") başta olmak üzere kişisel verilerin yurt dışına aktarılması bakımından öngörülen mekanizmaların nasıl uygulanması gerektiği ve (iv) Kanun uyarınca kişisel verilerin yurt dışına aktarımının mümkün olduğu istisnai aktarım hallerine ilişkin açıklamalar yer almaktadır.

Rehber'de her bir başlık altında öne çıkan açıklamalar aşağıdaki gibidir:

  1. Değişikliklerin Amacı ve Gerekçesi: Rehber'de, Değişiklikler'in temel olarak, kişisel verilerin işlenmesine ilişkin olarak Avrupa Birliği Genel Veri Koruma Tüzüğü'ne ("GDPR") uyumu sağlamayı ve kişisel verilerin yurt dışına aktarımında alternatif mekanizmalar öngörerek ülkemize yapılacak yatırımların önünü açmayı hedeflediği ifade edilmektedir.
  2. Hangi Faaliyetlerin Yurt Dışına Aktarım Teşkil Ettiği: Rehber'de, kişisel veri aktarımının Kanun madde 9 anlamında yurt dışına aktarım olarak değerlendirilmesi için (i) veri sorumlusu ya da veri işleyenin söz konusu kişisel veri işleme faaliyeti için Kanun'a tabi olması, (ii) veri aktaran tarafından işlenen kişisel verilerin iletilmesi veya başka bir suretle erişilebilir hale getirilmesi ve (iii) veri aktarılan veri sorumlusu ya da veri işleyenin üçüncü bir ülkede olması kriterlerinin sağlanması gerektiği ifade edilmektedir. Bu kapsamda Rehber ile, veri sorumlusunun yurt dışında bulunduğu ve Türkiye'de bulunan ilgili kişilerin kişisel verilerini doğrudan topladığı durumların (ing. direct collection), Kurum tarafından Kanun madde 9 kapsamında yurt dışına aktarım olarak değerlendirilemeyeceği açıklığa kavuşturulmaktadır.
  3. Uygun Güvencelere Dayalı Aktarımlar: Rehber'de, uygun güvencelere dayalı aktarımlara ilişkin yer verilen hususlar önemli bir oranda Kanun ve Yönetmelik'te yer alan açıklamaların tekrarı niteliğindedir. Bununla birlikte, Kanun ve Yönetmelik'te yer alan düzenlemelere ek olarak, Rehber'de, bağlayıcı şirket kurallarında yer alması gereken asgari unsurlara ve SS eklerinin nasıl doldurulması gerektiğine ilişkin açıklamalara yer verilmektedir. Buna göre, aktarım mekanizmalarına ilişkin olarak Rehber'de yer verilen dikkat çekici hususlar aşağıdaki gibidir:
    • Bağlayıcı Şirket Kuralları: Rehber, bağlayıcı şirket kurallarında asgari olarak yer alacak hususlara ilişkin açıklamalara yer vermekte ve teşebbüs grubunun Türkiye'de yerleşik olup olmamasına göre bağlayıcı şirket kuralları başvuru usulünün nasıl takip edilmesi gerektiğine ilişkin yönlendirmelerde bulunmaktadır. Ayrıca, Rehber uyarınca, bağlayıcı şirket kuralları içerisinde, Kurum tarafından başvuruya ilişkin soruların iletilebileceği temas kurulacak kişi/birimin bildirilmesi gerekmektedir. Rehber, pratik nedenlerle bu kişi/birimin Türkiye'de bulunmasını tavsiye etmektedir.
    • Standart Sözleşme Maddeleri: Rehber'de SS ekinin doldurulmasına, SS'lerin çift sütun olarak düzenlenip düzenlenmeyeceğine ve SS'ler ile sunulan yabancı ülke makamlarınca düzenlenmiş resmi belgelere ilişkin açıklamalar yer almaktadır. Buna göre, SS ekleri doldurulurken, aktarılan kişisel verilerin hangi ilgili kişi grubuna veya gruplarına ilişkin olduğu kişisel veri bazında belirtilmedir. Ayrıca Rehber uyarınca, SS'ler Türkçe versiyon öncelikli olarak esas alınmak üzere, Türkçe ve yabancı dilde çift sütunlu olarak düzenlenebilecektir. Son olarak, SS'ler ile sunulan yabancı ülke makamlarınca düzenlenmiş resmi belgeler bakımından, Yabancı Resmî Belgelerin Tasdiki Mecburiyetinin Kaldırılması Sözleşmesine taraf bir ülkede düzenlenmiş resmi belgeler Kurum'a sunulurken, ilgili belgelerde apostil şerhinin bulunması gerekmektedir. Rehber, standart sözleşmeler bakımından uygulamaya ilişkin faydalı örneklere yer verse de standart sözleşmelerin e-imza ile imzalanıp imzalanamayacağı gibi yurt dışında bulunan şirketler bakımından uygulamada rastlanılan belirsizliklere ilişkin yönlendirmemeler içermemektedir. Buna göre, söz konusu belirsizliklerin zaman içerisinde Kurum kararları ile şekillenmesi beklenmektedir
  4. İstisnai Aktarımlar: İstisnai aktarımlar bakımından Rehber'de, bir kişisel veri aktarımının istisnai olarak kabul edilebilmesi için, kaç kere gerçekleştiğinden bağımsız olarak ilgili aktarımın, veri aktaranın olağan faaliyet akışı içinde yer alıp almadığının üzerinde durulması gerektiği ifade edilmektedir. Buna göre, olağan faaliyet akışı içinde yapılan aktarımlar arızi aktarım olarak kabul edilmemektedir. Ek olarak, Rehber'de, Kanun uyarınca istisnai aktarım hallerinden birisi olarak sayılan açık rızaya, ancak ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla dayanılabileceği ifade edilmektedir. Bu kapsamda, ilgili kişiye yapılacak bilgilendirmede; (i) açık rızanın aktarım için yasal bir gerekçe olduğu, (ii) verilerin aktarılacağı ülke hakkında Kurum tarafından alınmış bir yeterlilik kararı olmadığı ve (iii) aktarım dolayısıyla oluşabilecek muhtemel risklere ilişkin açıklamalar yer almalıdır.

Rehber genel olarak, kişisel verilerin yurt dışına aktarılmasında uygulamada veri sorumlusu ve/veya veri işleyenler tarafından karşılaşılan problemlere yönelik cevaplar sunmakta, kişisel verilerin yurt dışına aktarılmasına ilişkin düzenlemeleri pratik örnekler ile açıklamaktadır. Değişiklikler'in ardından, yurt dışına veri aktarım süreçlerinin nasıl şekilleneceği ilerleyen dönemlerde Kurum'un alacağı kararlarla netlik kazanacak olsa da, veri sorumluları ve veri işleyenlerin Kanun ve Yönetmelik ile beraber Rehber'de yer alan yönlendirme ve açıklamaları dikkate almaları önem arz etmektedir.

Rehber'e buradan, daha detaylı bilgi için Rehber'e ilişkin hukuk bültenimize buradan ulaşabilirsiniz.

Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi Güncellendi

Kişisel verilerin yurt dışına aktarılmasına ve özel nitelikli kişisel verilerin işlenmesine ilişkin olarak Kanun'da kabul Değişiklikler, 1 Haziran 2024 tarihinde yürürlüğe girdi. Değişiklikler'in yürürlüğe girmesini takiben, 8 Ocak 2025 tarihinde, Kurum, daha evvel yayımlamış olduğu Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi'ni ("Bankacılık Rehberi") güncelledi.

Değişiklikler ile yurt dışına aktarım süreçlerinde mevcut rejim değiştirilerek standart sözleşme hükümleri başta olmak üzere yeni mekanizmalar öngörülmüş ve özel nitelikli kişisel verilerin işlenmesine yönelik alternatif işleme sebepleri düzenlenmişti. Bu kapsamda, bankacılık sektöründe yer alan şirketler dahil olmak üzere birçok şirketin kişisel veri işleme faaliyetlerini gözden geçirmesi gerekmekteydi. Ancak Değişiklikler'in uygulanmasına ilişkin belirsizliklere yönelik olarak Kurum tarafından yayımlanacak ikincil düzenlemeler bekleniyordu. Güncellenen Bankacılık Rehberi ile, Değişiklikler ile uyumlu olacak şekilde (i) özel nitelikli kişisel verilerin işlenmesine ilişkin Kanun'da öngörülen işleme şartlarına yer verilmekte ve (ii) yurt dışına aktarım mekanizmaları açıklanmaktadır. Bununla beraber, bankaların kişisel veri işleme faaliyetlerinde dikkat etmesi gereken diğer yönlendirmeler bakımından güncellenen Bankacılık Rehberi'nde esaslı bir değişiklik bulunmamaktadır.

Değişiklikler ile Kanun'da ilk kez, yurt dışına gerçekleştirilecek aktarımlar bakımından standart sözleşme hükümlerinin imzalandığına ilişkin Kurum'a bildirim yapılması yeterli görülmüş ve Kurum'un onayını gerektirmeyen bir mekanizmanın önü açılmıştır. Bu kapsamda, standart sözleşme hükümlerinin Değişiklikler uyarınca öngörülen yurt dışına aktarım mekanizmaları arasında öne çıkması ve birçok finansal şirket bakımından tercih edilen aktarım mekanizması olması beklenmektedir. Ancak, bankalar açısından, 5411 Sayılı Bankacılık Kanunu ("Bankacılık Kanunu") kapsamındaki sır saklama düzenlemeleri, Kanun hükümlerine göre özel niteliktedir. Bu kapsamda, banka sırrı ve/veya müşteri sırrı içeren bilgilerin yurt dışına aktarılması sürecinin Değişiklikler'e tabi olmadığı ve Bankacılık Kanunu madde 73 ile ikincil düzenlemelere uygun şekilde yürütülmesi gerektiği unutulmamalıdır.

Güncellenen Bankacılık Rehberi'ne buradan, Değişiklikler'e ilişkin detaylı bilgi edinmek için hukuk bültenimize buradan ulaşabilirsiniz.

Kişisel Verilerin Korunması Kanunu'ndaki Değişikliklerin Zaman Bakımından Uygulanmasına İlişkin Bilgi Notu Yayımlandı

Kurum, Kanun'da yapılan Değişiklikler'in zaman bakımından uygulanmasına ilişkin bilgi notunu ("Bilgi Notu") 19 Aralık 2024 tarihinde kendi internet sitesinde yayımladı. Bilgi Notu'nda, 1 Haziran 2024 tarihinde yürürlüğe giren Değişiklikler sonrasında özel nitelikli kişisel verilerin işlenmesi ve kişisel verilerin yurt dışına aktarımına ilişkin ihlaller bakımından Kanun'da öngörülen idari yaptırımların zaman bakımından uygulanmasına dair yönlendirmeler bulunmaktadır. Buna göre, idari yaptırımların uygulanması bakımından (i) fiilin durumu (ani hareketli ve/veya kesintisiz olması) ve kesildiği tarih ile, (ii) Kişisel Verileri Koruma Kurulu ("Kurul") kararının hangi tarihte alınıyor olduğu önem arz etmektedir.

Bilgi Notu uyarınca, bir fiile uygulanacak olan idari yaptırımın hangi idari yaptırım olduğunu belirleyebilmek için fiilin işlendiği zamanın doğru tespit edilmesi gerekmektedir. Buna göre, fiilin ani hareketli veya kesintisiz olmasına göre bir ayrım yapılmalı ve ceza hukukundaki genel prensipler uyarınca zaman bakımından uygulanacak hukuk kurallarına ilişkin değerlendirmeler dikkate alınmalıdır. Bu çerçevede, Bilgi Notu uyarınca, ani hareketli fiillerde eylemin gerçekleştirildiği an; kesintisiz fiillerde ise fiilin sona erdirildiği an esas alınarak yorum yapılması gerekmektedir.

Hukuka aykırı fiilin ne zaman gerçekleştiğine/kesildiğine ilişkin göz önünde bulundurulması gereken referans noktası ise, ihlalin özel nitelikli kişisel verilerin işlenmesine mi yoksa yurt dışına veri aktarımına mı ilişkin olduğuna göre değişmektedir. Buna göre, özel nitelikli kişisel verilerin işlenmesine ilişkin bir hukuka aykırılık söz konusu olması halinde Değişiklikler'in yürürlüğe girme tarihi olan 1 Haziran 2024; kişisel verilerin yurt dışına aktarılması bakımından gündeme gelen bir ihlal olması halinde ise geçiş sürecinin son günü olan 1 Eylül 2024 tarihi göz önünde bulundurulmalıdır. Buna göre, ihlale konu fiilin kesildiği tarih Değişiklikler'den önceyse – her bir ihlal bazında yukarıda yer verilen tarihler değerlendirilmelidir – lehe kanun uygulanacaktır. Bununla beraber, söz konusu fiil Değişiklikler'den önce başlamış ve hala devam ediyorsa bu durumda yeni kanun uygulanacaktır. Bu kapsamda, Bilgi Notu'nda, idari yaptırımlara ilişkin olarak uygulanacak kanun ile ilgili olarak yer verilen özet tablo aşağıdaki gibidir:

Durum Fiilin Kesildiği Zaman Şikâyet Uygulanan Kanun Açıklama
Fiil, Değişiklikler'den önce gerçekleşmiş ve bitmiş Ani hareketli fiil/ kesilmiş mütemadi hareketli fiil (tamamlanmış) Şikâyet Değişiklikler'den önce veya sonra sunulmuş. Lehe kanun uygulanır. Değişiklikler'den önce gerçekleşen ve biten fiillerde, şikâyetin ne zaman yapıldığı önem arz etmemektedir. Karar, Değişiklikler'in yürürlüğe girdiği tarihten sonra veriliyorsa lehe olan kanun uygulanır.
Fiil, Değişiklikler'den önce başlamış ve devam ediyor Mütemadi hareketli fiil (devam eden) Şikâyet Değişiklikler'den önce sunulmuş. Eğer fiil Değişiklikler'den önce kesilmişse, lehe kanun uygulanır. Eğer fiil Değişiklikler'den sonra kesilmişse veya hala devam ediyorsa yeni kanun uygulanır. Bu durumda, fiil Değişiklikler'den önce başlamış ancak hala devam ediyor. Bu bakımından, fiilin ne zaman kesildiği önemlidir. Kurul Kararı Değişiklikler'in yürürlüğe girmesinden sonra alınıyorsa yeni kanun uygulanır. Zira fiil Kurul Kararı ile kesilecektir. Fiilin Değişiklikler'den önce kesilmesi halinde lehe kanun uygulanır.
Fiil, Değişiklikler'den önce başlamış ve devam ediyor Mütemadi hareketli fiil (devam eden) Şikâyet Değişikiklikler'den sonra sunulmuş. Eğer fiil Değişiklikler'den sonra kesilmişse, yeni kanun uygulanır. Fiil hala devam ediyor ve Kurul Kararı Değişiklikler'in yürürlüğe girmesinden sonra alınıyorsa yeni kanun uygulanır. Zira fiil Kurul Kararı ile kesilecektir.
Fiil Değişiklikler'den sonra gerçekleşmiş Yeni kanun uygulanır. Değişiklikler'den sonra gerçekleşen fiillerde zaman bakımından uygulanma sorunu söz konusu olmadığından yeni kanun uygulanır

Bilgi Notu, hukuki belirlilik ilkesi ışığında Değişiklikler'in yürürlüğe girmesi ile birlikte idari yaptırımların zaman bakımından uygulanması konusunda uygulamada yaşanan problemlere yönelik yönlendirici açıklamalar içermektedir. Bu kapsamda, veri sorumlusu ve veri işleyenler hakkında Kurum tarafından uygulanabilecek idari yaptırımlara ilişkin bir çerçeve çizen Bilgi Notu'nda yer alan açıklamaların incelenmesi, bir şirket hakkında kişisel verilerin işlenmesi faaliyetleri açısından risk değerlendirmesi yapmak isteyen paydaşlar bakımından önem arz etmektedir.

Bilgi Notu'na buradan ulaşabilirsiniz.

Yeni Karar Özetleri Yayımlandı

Kurum, geçtiğimiz Ocak ayında, kişisel verilerin işlenme şartına ve veri güvenliğinin sağlanması bakımından veri sorumlularının aldığı teknik ve idari tedbirlere ilişkin olmak üzere internet sitesi üzerinde 2 yeni karar özeti yayımladı. İlgili kararların özetleri aşağıdaki gibidir:

18 Temmuz 2024 tarihli ve 2024/1176 sayılı karar: Kararda, ilgili kişi, internet aboneliğinin kurulması sırasında kişisel verilerinin iradesi sakatlanmak suretiyle hukuka aykırı olarak elde edildiği ve işlendiği gerekçesiyle, veri sorumlusu aleyhine Kurum nezdinde şikayette bulunmuştur. İhlale konu şirket, savunmasında, abonelik sözleşmesi yapan ana şirketin bir bayisi olduğunu ve aralarındaki çözüm ortaklığı sözleşmesi uyarınca veri işleyen sıfatını haiz olduğu ileri sürmüştür. Yaptığı inceleme sonucunda Kurul, (i) ilgili kişinin olaya konu markanın abonesi olmak istemediğini açıkça belirtmiş olmasına rağmen aldatıldığını ve kişisel verilerinin işlenmesi bakımından açık rızasının bulunmadığı, (ii) ilgili internet sitelerinde yer alan aydınlatma metninde veri sorumlusu olarak bayi şirketin göründüğü ve bayi şirketin ana şirket ile akdedilen çözüm ortaklığı sözleşmesinde ana şirket tarafından verilen talimatların dışına çıktığından veri sorumlusu sıfatını haiz olduğu konusunda bir şüphe olmadığı, (iii) veri sorumlusu şirketin başka bir firmaya ait görselleri yanıltıcı bir şekilde kullanarak ilgili kişiyi aldattığı için açık rıza işleme şartına dayanamayacağını değerlendirmiştir. Bu kapsamda Kurul, veri sorumlusunun Kanun'un 12/1(a) maddesinde öngörülen kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli idari ve teknik tedbirlerin alınması yükümlülüğünü yerine getirmediğine kanaat getirmiş ve veri sorumlusu hakkında 450.000 TL idari para cezası uygulanmasına karar vermiştir. İlgili karar özetine buradan ulaşabilirsiniz.

8 Ağustos 2024 tarihli ve 2024/1385 sayılı karar: Kurul, bir e-ticaret platformu tarafından Kurum'a intikal edilen veri ihlali bildirimi sonucunda veri sorumlusunun veri güvenliğini sağlamak adına yeterli teknik ve idari tedbir almadığına karar vermiştir. İhlale konu olayda, veri sorumlusu şirket satıcı konumundaki kullanıcıların ürünleri satabildikleri bir e-ticaret platformu işletmektedir. İhlal, satıcılar tarafından diğer platform ve mecralarda kullanılan kullanıcı adı ve şifre bilgilerinin, yetkisiz üçüncü kişi/kişiler tarafından veri sorumlusunun satıcı portalında denenerek bazı satıcı hesaplarına yetkisiz bir şekilde erişilmesi neticesinde meydana gelmiştir. Kurul, ilgili olayda; (i) satıcıların platforma giriş portalında kullandığı uygulamanın saldırganlar tarafından aşılabilmesi sebebiyle veri sorumlusunun kullandığı güvenlik arayüzün yetersiz kaldığı, (ii) satıcıların portala ilk girişlerinde ya da son IP adreslerinden farklı bir IP adresi ile giriş yaptıkları durumda devreye giren tek seferlik parola sisteminin ihlalden sonra uygulamaya konulduğu ancak ihlal öncesinde alınması gereken tedbirin alınmadığı, (iii) veri sorumlusunun ihlali tespit etme hususunda geç kaldığı ve (iv) ihlalin olumsuz etkilerini azaltabilecek bir tedbir olan çift faktörlü kimlik doğrulama tedbirinin ihlal sonrası devreye konulduğu değerlendirmelerinden hareketle veri sorumlusunun Kanun'un 12/1 maddesinde yer alan yükümlülüklerini yerine getirmediğini değerlendirmiştir. Bu doğrultuda, Kurul, veri sorumlusu hakkında 3.250.000 TL idari para cezası uygulanmasına karar vermiştir. İlgili karar özetine buradan ulaşabilirsiniz.

Coğrafi Veri

Coğrafi Bilgi Sistemleri ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun'da Değişiklik Yapıldı

7221 sayılı Coğrafi Bilgi Sistemleri ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun'da ("Coğrafi Bilgi Sistemleri Kanunu") değişiklikler ("Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler") öngören 7534 sayılı Köy Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 12 Aralık 2024 tarihli Resmî Gazete'de yayımlandı. Kasım 2023 DigiDiary sayımızda, lisans/izin yükümlülüklerinin Çevre, Şehircilik ve İklim Değişikliği Bakanlığı ("Bakanlık") tarafından belirleneceğini düzenleyen Coğrafi Bilgi Sistemleri Kanunu hükmünün Anayasa Mahkemesi'nin 18 Mayıs 2023 tarihli ve 2023/99 sayılı kararı ile iptal edildiğini ve izin ve lisansa yükümlülüğüne ilişkin usul ve esasları belirleyen yönetmeliklerin hukuki dayanağının ortadan kalktığını aktarmıştık. Söz konusu Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler, Anayasa Mahkemesi'nin ilgili iptal kararına uyum sağlamak amacıyla getirilmiş olup izin yükümlülüğüne ilişkin usul ve esaslar ile yaptırımları düzenlemektedir.

Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler ile gerçek kişilerin ve özel hukuk tüzel kişilerinin coğrafi verileri toplaması, üretmesi, paylaşması veya satması, veri madenciliği yapması veya yeni veri üretmesi bakımından izin ve lisans ayrımı kaldırılmış olup tüm başvurular Bakanlık nezdinde izin başvurusu olarak değerlendirilecektir. Bu kapsamda, coğrafi verileri ticari faaliyete konu şekilde işleyen ve bu yolla gelir elde eden kişilerin izin başvurusunda bulunması gerekmektedir. Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler ile izin kurumuna ilişkin getirilen düzenlemeler arasında dikkat çeken hususlar aşağıdaki gibidir:

  • İzin Belgesinin Geçerlilik Süresi: Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler ile, izin belgesinin geçerlilik süresinin bir yıldan az beş yıldan fazla olmayacağı ve izin isteklisinin talebi üzerine Bakanlık tarafından yıl bazında onaylanacağı düzenlenmektedir. İzin başlangıç tarihi, başvurunun Bakanlıkça onaylandığı tarih olarak kabul edilecektir. Coğrafi Veri
  • İzin Bedelinin Hesaplanması: İzin bedelinin hesaplanmasında, yabancı ve yerli kişiler bakımından öngörülen ayrım değiştirilmemiş olup, bedelin hesaplanmasında başvuru belgelerinin eksiksiz olması şartıyla başvuru tarihi esas alınacaktır. Türk faaliyet sahipleri bakımından izin bedeli Coğrafi Bilgi Sistemleri Kanunu ekindeki cetvelde çeşitli kriterlere ilişkin olarak düzenlenen katsayılar ile Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler'de 1.750 TL olarak düzenlenen ve yıllık olarak yeniden değerleme oranında güncellenecek olan izin katsayı bedelinin çarpılması ile hesaplanacaktır. Bu kapsamda, yeniden değerleme oranı uyarınca izin katsayısı bedeli 2025 yılı için 2.519 TL olacaktır.
  • İzinsiz Faaliyette Bulunulması Halinde Yaptırım: Coğrafi veri izninin alınmadığının tespiti halinde izin başvurusu yapmak için faaliyet sahibine tebliğ tarihinden itibaren 15 gün süre verilecektir. Bu süre içerisinde başvuruda bulunmayan kişiler bakımından idari para cezası öngörülmektedir. İdari para cezası tutarı bakımından, Türk ve yabancı kişiler göre bir ayrıma gidilmiştir. Buna göre, Türk kişiler bakımından öngörülecek olan idari para cezası bir yıllık en yüksek izin bedeli iken, yabancı kişiler bakımından bir yıllık izin bedelinin 2 katı olarak düzenlenmektedir.
  • Değişiklikler Öncesi Yapılan Başvuruların Durumu: Coğrafi Bilgi Sistemleri Kanunu'na eklenen geçici madde 1'de, Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler öncesinde verilmiş izin ve lisans belgelerinin süresi bitimine kadar geçerli olduğu, ancak henüz onaylanmamış başvuruların geçersiz sayılacağı belirtilmektedir.

Anayasa Mahkemesi'nin ilgili iptal kararı sonrasında sektörde coğrafi veri süreçleri bakımından yaşanan duraklamanın Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler sonrasında sona ermesi ve Bakanlık'ın coğrafi veri süreçlerine ilişkin faaliyetlerini arttırması beklenmektedir. Bu kapsamda, izin yükümlülüğüne tabi kişilerin Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler'i inceleyerek gerekli aksiyonları alması önem arz etmektedir.

Coğrafi Bilgi Sistemleri Kanunu'ndaki Değişiklikler'e buradan ulaşabilirsiniz.

Siber Güvenlik

Siber Güvenlik Alanında Yeni Gelişmeler

Son yıllarda artan siber tehditler, ülkelerin ulusal güvenlik stratejilerinde siber güvenlik önlemlerine yer vermesini zorunlu kılmaktadır. Bu kapsamda geçtiğimiz aylarda Türkiye'de de siber güvenliğin sağlanmasına yönelik olarak adımlar atıldı. Buna göre, 8 Ocak 2025 tarihli ve 32776 sayılı Resmi Gazete'de yayımlanan 177 numaralı Siber Güvenlik Başkanlığı Hakkında Cumhurbaşkanlığı Kararnamesi ("CB Kararnamesi") ile, Siber Güvenlik Başkanlığı ("Siber Güvenlik Başkanlığı") kuruldu. Siber Güvenlik Başkanlığı'nın yetkileri ve sorumluluklarına ilişkin usul ve esasları düzenleyen CB Kararnamesi uyarınca, Siber Güvenlik Başkanlığı'nın siber güvenlikle ilgili çalışmalar, projeler oluşturmak, zafiyet tespiti gerçekleştirmek, mevzuat çalışmaları yürütmek, siber güvenlik faaliyetlerinde koordinasyonu sağlamak, acil durum planları oluşturmak ve siber güvenliğe ihtiyaç duyulan alanlarda Ar-Ge ve teknoloji transferi yapmak gibi görevleri bulunmaktadır.

CB Kararnamesi'nin yayımlanmasının ardından, kamu kurum ve kuruluşların siber saldırılara karşı korunmasına yönelik düzenlemelerin yapılması ve ülkenin siber güvenliğini güçlendirmek için strateji ve politikaların belirlenmesini amaçlayan Siber Güvenlik Kanunu Teklifi ("Kanun Teklifi"), 10 Ocak 2025 tarihinde, Türkiye Büyük Millet Meclisi'ne sunuldu. Kanun Teklifi'nde Siber Güvenlik Başkanlığı'nın da görev, yetki ve sorumluluklarına ilişkin hükümler bulunmaktadır. Kanun Teklifi, Siber Güvenlik Başkanlığı'na ek olarak, Cumhurbaşkanı, Cumhurbaşkanı Yardımcısı, Siber Güvenlik Başkanı ve çeşitli bakanlar ile kamu kuruluşları başkanlarının yer aldığı Siber Güvenlik Kurulu'nun ("Siber Güvenlik Kurulu") kurulmasını öngörmektedir. Buna göre Siber Güvenlik Kurulu'nun; (i) siber güvenlikle ilgili eylem planı, politika gibi düzenleyici işlemlere yönelik karar almak, (ii) Siber Güvenlik Başkanlığı tarafından hazırlanan teknoloji yol haritasının uygulanmasına yönelik karar almak, (iii) kritik altyapı sektörlerini belirlemek ve siber güvenlik alanında teşvik verilecek öncelikli alanlara karar vermek, ve (iv) Siber Güvenlik Başkanlığı ile kamu kurum ve kuruluşları arasında meydana gelebilecek ihtilaflar hakkında karar almak gibi görevleri bulunmaktadır.

Kanun Teklifi metninde bir diğer dikkat çeken husus, ilgili mevzuat kapsamında yer alan ve bilişim sistemleri kullanmak suretiyle hizmet sunan, veri toplayan, işleyen ve benzeri faaliyet yürütenlerin siber güvenliğe ilişkin görev ve sorumluluklarının düzenlenmesidir. Buna göre, söz konusu gerçek ve tüzel kişiler; (i) Siber Güvenlik Başkanlığı'nın talep ettiği bilgi ve belgeleri iletmek, (ii) mevzuatın öngördüğü tedbirleri almak ve zafiyet veya siber olayları Siber Güvenlik Başkanlığı'na bildirmek, (iii) kritik altyapılarda kullanılacak siber güvenlik ürün, sistem ve hizmetleri Başkanlık tarafından yetkilendirilmiş ve belgelendirilmiş siber güvenlik uzmanları ve şirketlerden tedarik etmek, (iv) sertifikasyon, yetkilendirme ve belgelendirmeye tabi siber güvenlik şirketlerince faaliyete başlamadan önce mevcut düzenlemeler çerçevesinde Siber Güvenlik Başkanlığı'nın onayını almak ve (v) Siber Güvenlik Başkanlığı tarafından belirlenen politika, strateji ve eylem planı gibi belgelerde yer alan hususları yerine getirmekle yükümlüdür.

Siber güvenliğe ilişkin caydırıcı yaptırım süreçlerinin işletilmesine yönelik olarak Kanun Teklifi'nde işlenen fiillerin ağırlığına göre bir ayrıma gidilmiştir. Buna göre Kanun Teklifi'nde, siber saldırı gerçekleştirilmesi, kişisel veya kurumsal verilerin sızdırılması, sızdırılan verilen yayılması vb. gibi bazı fiillere hapis cezası; mevzuatın öngördüğü tedbirlerin alınmaması ve denetim faaliyetlerinin engellenmemesi gibi görece daha hafif nitelikte olan diğer fiillere ise idari para cezası verilmesi düzenlenmektedir

Siber Güvenlik Başkanlığı'nın kurulması ve siber güvenlik alanında yürütülen yasama faaliyetleri, Türkiye'nin siber güvenlik alanında daha güçlü bir çerçeve oluşturma hedefini ortaya koymaktadır. Bu kapsamda, ilerleyen dönemlerde siber güvenlik alanındaki yeni yapılanmanın nasıl hayata geçirileceği gibi hususların şekillenmesi ve yasal çerçevenin netleşmesi beklenmektedir.

CB Kararnamesi'ne buradan, Kanun Teklifi'ne ise buradan ulaşabilirsiniz.

Dünyadan Gelişmeler

Siber Dayanıklılık Yasası Avrupa Birliği Resmi Gazetesi'nde Yayımlandı

DigiDiary'nin Kasım 2024 sayısında, Avrupa Birliği Konseyi'nin, 10 Ekim 2024 tarihinde donanım ve yazılım ürünlerinin daha az güvenlik açığı ile piyasaya sürülmesini amaçlayan ve dijital unsurlar içeren ürünlerin güvenliğini sağlamak konusunda dijital ekosistemde yer alan pek çok paydaşa çeşitli yükümlülükler getiren Siber Dayanıklılık Yasası'nı ("Siber Dayanıklılık Yasası") kabul ettiğini aktarmıştık. Bu gelişmeleri takiben, Avrupa Birliği Konseyi ve Avrupa Parlamentosu tarafından imzalanan Siber Dayanıklılık Yasası, 20 Kasım 2024 tarihinde, Avrupa Birliği Resmi Gazetesi'nde yayımlandı. Avrupa Birliği Resmi Gazetesi'nde yayımlanan metnin nihai hali uyarınca, Siber Dayanıklılık Yasası, 10 Aralık 2024 tarihinden başlamak üzere 11 Aralık 2027'de bütün hükümleri uygulanır olacak şekilde yürürlüğe girecek.

Siber Dayanıklılık Yasası, risk temelli bir yaklaşım ile önemli dijital unsurlara sahip olan ürünleri sınıflandırmakta ve bu sınıflandırma uyarınca ürünlerin üretiminde, tasarımında veya geliştirilmesinde yer alan aktörlere çeşitli yükümlülükler getirmektedir. Bu yükümlülükler kapsamında artık dijital unsur içeren ürünler Avrupa Birliği pazarına sunulurken söz konusu ürünün Siber Dayanıklılık Yasası'nda öngörülen standartlara uygunluğunu gösteren "CE" işareti bulundurması gerekmektedir. "CE" işaretine sahip olabilmek için ilgililerin tamamlaması gereken adımlar aşağıdaki gibidir:

  • Piyasaya sunulmak istenen ürünün, düzenleme uyarınca hangi sınıfa girdiğinin belirlenmesi ve Siber Dayanıklılık Yasası'nda öngörülen düzenlemelere uygun olup olmadığının değerlendirilmesi gerekmektedir (ing. conformity assessment).
  • Söz konusu değerlendirmenin akabinde, ilgili ürünün teknik özelliklerine ilişkin bir belgelendirme yapılmalıdır. Hazırlanacak olan belgeler, ürünün tasarımı, geliştirilmesi, üretimi, olası güvenlik açıklıkları ve risk değerlendirmesi ile ilgili ayrıntıları içermelidir.
  • Uygunluk değerlendirmesi ve gerekli teknik belgelerin hazırlanmasının ardından, ilgililerin söz konusu dijital unsur taşıyan ürün hakkında Avrupa Birliği uygunluk beyanı imzalaması gerekmektedir. İlgili beyanın nasıl doldurulması gerektiğine ilişkin ayrıntılar Siber Dayanıklılık Yasası'nın ekinde yer almaktadır. İlgililer, uygunluk beyanının imzalanması ile piyasaya sunulmak istenen ürünün yürürlükteki düzenlemelere uygunluğu konusunda tüm sorumluluğu üstlenmiş olmaktadır.

Avrupa Birliği Resmi Gazetesi'nde yayımlanan metnin nihai hali uyarınca, 11 Aralık 2027 tarihinden itibaren CE işareti olmayan dijital unsur içeren ürünler, Avrupa Birliği pazarında yer alamayacaktır. Söz konusu durum, CE işaretinin alınmasını, Avrupa Birliği içerisinde faaliyet göstermek isteyen üreticiler bakımından kritik hale getirmektedir. Bu kapsamda ilgililerin, 11 Haziran 2026 tarihine kadar Avrupa Birliği pazarına sunmak istedikleri ürün hakkında uygunluk değerlendirmelerini ve 11 Eylül 2026 tarihine kadar söz konusu ürün hakkında tespit ettikleri olası güvenlik açıklarını içeren teknik belgelendirmeyi tamamlanması gerekmektedir.

Siber Dayanıklılık Yasası hakkında daha ayrıntılı bilgi için Kasım ayında yayımlanan DigiDiary sayımıza buradan, Avrupa Resmi Gazetesi'nde yayımlanan nihai metne ise buradan (İngilizce) ulaşabilirsiniz.

Avrupa Veri Koruma Kurulu Yapay Zekâ Modellerinin Geliştirilmesi ve Yerleştirilmesinde Kişisel Verilerin Kullanımına İlişkin Görüş Yayımladı

Avrupa Veri Koruma Kurulu, 18 Aralık 2024 tarihinde, Yapay Zekâ Modellerinin Geliştirilmesi ve Yerleştirilmesinde Kişisel Verilerin Kullanımına İlişkin 28/2024 sayılı Görüş'ü ("Görüş") yayımladı. Görüş, temel olarak İrlanda Veri Koruma Otoritesi'nin; (i) bir yapay zekâ modelinin ne zaman ve hangi şartlar altında anonim olarak kabul edilebileceği, (ii) meşru menfaatin bir yapay zekâ modelinin geliştirilmesi ve kullanılması aşamasında gerçekleştirilen kişisel veri işleme faaliyetlerinin hukuki dayanağı olarak gösterilip gösterilemeyeceği ve (iii) bir yapay zekâ modelinin geliştirilme aşamasında kişisel verilerin hukuka aykırı olarak işlenmesi sonucunda ne yapılması gerektiği sorularına cevap vermektedir. Söz konusu başlıklar altında öne çıkan açıklamalar aşağıdaki gibidir:

  • Yapay zekâ modelinin anonim olarak kabul edilmesi: Görüş, bir yapay zekâ modelinin ne zaman ve hangi şartlar altında anonim olarak kabul edilmesi gerektiğine ilişkin olarak veri koruma otoritelerinin her bir olay özelinde değerlendirme yapmasını tavsiye etmektedir. Buna göre, bir yapay zekâ modelinin anonim olarak değerlendirilmesi için; (i) yapay zekâ modelinin oluşturulması aşamasında kişisel verileri işlenen kişilerin doğrudan veya dolaylı olarak belirlenmesi ve (ii) söz konusu verilerin ilgili yapay zekâ modeli üzerinden yapılan sorgulamalar aracılığıyla elde edilmesinin mümkün olmaması gerekmektedir. Görüş ayrıca, ilgili yapay zekâ modelinin anonim olduğunu göstermek adına yapay zekâ modeli geliştiricileri tarafından kullanılabilecek yöntemlere dair örnek bir listeye yer vermektedir.
  • Yapay zekâ modellerinin geliştirilmesi ve yerleştirilmesi bakımından gerçekleştirilen veri işleme faaliyetlerinde meşru menfaate dayanılması: Görüş uyarınca, yapay zekâ modeli geliştiricileri, ilgili yapay zekâ modelinin geliştirilmesi aşamasında meşru menfaatlerine dayalı olarak veri işleme faaliyeti gerçekleştirebilir. Bununla beraber, Görüş, hukuka uygun bir şekilde meşru menfaate dayanılması bakımından üç aşamalı bir denge testinin uygulanması gerektiğini belirtmektedir. Buna göre, (i) meşru menfaatin varlığı, (ii) söz konusu menfaatin sağlanması bakımından veri işleme faaliyetinin gerekli olup olmadığı ve (iii) ilgili menfaatin ilgili kişilerin temel hak ve özgürlüklerinin önüne geçip geçmediğinin değerlendirilmesi gerekmektedir. Ek olarak, veri işleme faaliyetinin kişiler üzerindeki olumsuz etkisinin sınırlandırması bakımından veri sorumlularının işleme faaliyetine ilişkin şeffaflığı arttırması, gerekli teknik ve idari tedbirleri alması veya bireylerin haklarını kullanmasını kolaylaştırıcı yöntemlere başvurması beklenmektedir.
  • Yapay zekâ modelinin geliştirilmesi aşamasında kişisel verilerin hukuka aykırı olarak işlenmesi: Görüş'te, hukuka aykırı bir şekilde işlenmiş kişisel verilerle geliştirilen bir yapay zekâ modeli söz konusu olması halinde, veri koruma otoriteleri ve veri sorumluları tarafından atılabilecek adımlara ilişkin de yönlendirmelere yer verilmektedir. Buna göre, her bir olay özelinde ayrı değerlendirme yapmaları beklenen veri koruma otoriteleri, yapay zekâ modeli uygulamaya alınmadan önce ilgili hukuka aykırılığın gidermesi bakımından veri sorumlularını talimatlandırabilir. Örneğin söz konusu hukuka aykırılık, veri sorumluları tarafından kullanılan kişisel verilerin anonimleştirilmesi veya imha edilmesi halinde giderilebilecektir. Görüş uyarınca, hukuka aykırılığın modelin geliştirilme aşamasında giderilmemesi, yapay zekâ modelinin hukuka uygun bir şekilde uygulamaya alınması/ yerleştirilmesini de doğrudan etkileyecektir.

Yapay zekâ modellerinin kullanımın her geçen gün artması ve özellikle üretken yapay zekânın belirli senaryolarda kişisel verilerle etkileşime girebilmesi, veri sorumlularının bu modellerin geliştirilmesi ve piyasaya sunulması süreçlerinde kişisel veri işleme faaliyetlerinin hukuka uygun yürütülmesini zorunlu kılmaktadır. Bu çerçevede, yapay zekâ modeli geliştiricilerinin Görüş'te yer alan değerlendirmeleri ve yönlendirmeleri dikkate alarak veri işleme süreçlerini şekillendirmeleri önem arz etmektedir.

Avrupa Veri Koruma Kurulu tarafından yayımlanan Görüş'e buradan (İngilizce) ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Can Sozer
Can Sozer
Photo of Ecem Elver
Ecem Elver
Photo of Aybuke Gundel Solak
Aybuke Gundel Solak
Photo of Yigit Acar
Yigit Acar
Photo of Berfu Oztoprak
Berfu Oztoprak
Photo of Ecenur Etiler
Ecenur Etiler
Photo of Başak Dadaş
Başak Dadaş
Photo of Berk Furkan Derici
Berk Furkan Derici
Photo of Beril Kosegil
Beril Kosegil
Photo of Erdogan Karadag
Erdogan Karadag
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More