Article Insights

Stéphanie Beghe Sönmez’s articles from Paksoy are most popular: within Privacy topic(s)

in Turkey Paksoy are most popular: within Privacy, Intellectual Property and Employment and HR topic(s)

Yapay zekâ araçlarının günlük iş süreçlerine giderek daha yaygın şekilde entegre edilmesine paralel olarak, özellikle yapay zekâ bağlamında kişisel verilerin işlenmesine ilişkin 2025 yılının sonunda ve 2026 yılının başlangıcında Türkiye'de veri koruma hukukunda dikkat çekici gelişmeler yaşanmıştır.

Kişisel Verileri Koruma Kurumu (Kurum), üretken yapay zekâya ilişkin olarak ilgili kuruluşlardan temel uyum beklentilerini ortaya koyan kapsamlı bir rehber yayımlamıştır. Yasama alanında ise, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (KVKK) değişiklik yapılmasını öngören ve yapay zekâ kullanılarak oluşturulan içeriklerin izinsiz paylaşılmasına ilişkin yaptırımlar düzenleyen bir kanun teklifi Türkiye Büyük Millet Meclisi'ne sunulmuştur. Buna paralel olarak Cumhurbaşkanlığı Kararnameleri ile Türkiye'nin yapay zekâ yönetişimine ilişkin yeni bir kurumsal yapı düzenlenmiştir.

Yapay zekâya ilişkin gelişmelerin yanı sıra Kurum; mobil uygulamalar üzerinden gönderilen anlık bildirimler için parçalı açık rıza alınmasına ilişkin ilave açıklamalarını yayımlamıştır, veri ihlali bildirimlerinin yayımlanmasına ilişkin politikasını güncellemiştir ve bilanço esasına göre defter tutmayan işletmelerin Veri Sorumluları Sicili (VERBİS) kayıt yükümlülüğünden istisna tutulmasının değerlendirilmesine ilişkin ek açıklamalarda bulunmuştur. Kurum ayrıca %25,49 oranında artırılan idari para cezası tutarlarının 2026 yılı için 85.437 TL ila 17.092.242 TL arasında belirleneceğini duyurmuştur.

Üretken yapay zekâ ve kişisel verilerin korunmasına ilişkin rehber

Kurum, Kasım 2025'te KVKK'nın üretken yapay zekâ sistemlerine nasıl uygulanacağına ilişkin ilk kez kapsamlı değerlendirmelerini içeren “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)” başlıklı rehberini yayımlamıştır. Rehberde üretken yapay zekânın her açıdan KVKK'ya tabi olduğu ve bir yapay zekâ sisteminin eğitiminden yerleştirilmesine (deployment) ve kullanımına kadar yaşam döngüsündeki tüm aşamalarının veri korumaya ilişkin yükümlülüklere uygun olması gerektiği vurgulanmıştır. Rehberde ayrıca AB kaynaklarıyla uyumlu olarak temel kavramlara yer verilmiş ve veri sızıntısı, fikri mülkiyet sorunları, deep fake, önyargı ve manipülasyon gibi başlıca risklere dikkat çekilmiştir.

Rehberde eğitim verileri, istemler (prompt) ve çıktılar dâhil olmak üzere üretken yapay zekâ sistemlerinin her aşamasında kişisel verilerin işlenebileceği, veri sorumlusu/veri işleyen rollerinin ise işleme amaç ve vasıtalarını belirleyen tarafın kim olduğuna göre değerlendirilmesi gerektiği açıklanmıştır. Ayrıca, yapay zekânın eğitilmesi, işletilmesi ve çıktılarının kullanılması faaliyetlerinin her birinin ayrı birer veri işleme faaliyeti teşkil ettiği, her bir faaliyet bakımından geçerli bir hukuki sebep bulunması gerektiği ve şeffaflık sağlanmadan yalnızca açık rızaya dayanılmasının yeterli olmayacağı vurgulanmıştır.

Bunlara ek olarak Kurum kamuya açık olarak erişilebilen verilerin yapay zekânın eğitilmesi amacıyla serbestçe kullanılamayacağını ve Türkiye dışında barındırılan yapay zekâ sistemlerinin kullanımının KVKK'da düzenlenen kurallar kapsamında yurt dışına veri aktarımı niteliği taşıdığını belirtmiştir. Rehberde tasarımdan itibaren mahremiyet (privacy by design), kişisel veri işleme faaliyetlerine ilişkin etki değerlendirmeleri ve yapay zekâya özgü risklere yönelik güçlendirilmiş teknik ve idari tedbirler dâhil olmak üzere önerilen güvenlik önlemlerine de yer verilmiştir.

Yapay zekâ kullanılarak oluşturulan içeriklerin izinsiz paylaşılmasına ilişkin kanun teklifi

KVKK'da değişiklik yapılmasını öngören bir kanun teklifi 8 Ocak 2026 tarihinde Türkiye Büyük Millet Meclisi'ne sunulmuştur. Teklif ile KVKK'nın 18. maddesine eklenmek üzere, yapay zekâ tarafından üretilmiş ses, yazı veya görsel içeriklerin ilgili kişinin izni olmaksızın paylaşılmasına imkan sağlayan sosyal medya araçları ve dijital platformlara her bir ileti için ayrı ayrı uygulanmak üzere, iletinin paylaşıldığı yılın bir önceki yılının cirosunun yüzde beşi oranında idari para cezası uygulanmasını öngören yeni bir kabahat düzenlenmektedir.

Bu düzenleme, KVKK kapsamında öngörülen ve her yıl yeniden değerleme oranında artırılan sabit tutarlı idari para cezaları sisteminden dikkat çekici bir şekilde farklılaşmaktadır. Teklif edilen değişiklikte yapay zekâ üretimi ile izinsiz olarak oluşturulan içeriklere özgü olarak, oransal ve ciro esaslı bir idari para cezası rejimi öngörülmektedir. Bu aşamada kanun teklifi kapsam itibarıyla sınırlı olup yalnızca yapay zekâ üretimi içeriklere ilişkin yaptırımları düzenlemektedir. İlgili yasama sürecinin ilerlemesiyle birlikte bu konuda ek düzenlemeler ve daha detaylı görüşmeler yapılması söz konusu olabilecektir.

Yapay zekâ yönetişimi için yeni kurumsal yapılanmalar

25 Aralık 2025 tarihinde yayımlanan iki adet Cumhurbaşkanlığı Kararnamesi ile Türkiye'nin yapay zekâ ve dijital altyapıya ilişkin kurumsal yapılanmasında dikkat çekici değişiklikler yapılmıştır. İlgili düzenlemeler özel sektör kuruluşları için doğrudan yeni yükümlülükler getirmemekle birlikte yapay zekâ yönetişimi, veri yönetimi ve bulut hizmetleri alanlarında ilerleyen dönemde daha fazla mevzuat düzenlemeleri yapılabileceğini işaret etmektedir.

191 sayılı Cumhurbaşkanlığı Kararnamesi ile Sanayi ve Teknoloji Bakanlığı bünyesindeki Milli Teknoloji Genel Müdürlüğü, Milli Teknoloji ve Yapay Zekâ Genel Müdürlüğü olarak yeniden adlandırılmış ve görev alanı veri merkezi ve bulut altyapısının geliştirilmesi, standartlar ve belgelendirme süreçlerinin belirlenmesi, ulusal yapay zekâ kapasitesinin güçlendirilmesi ile yapay zekâya ilişkin Ar-Ge ve mevzuat çalışmalarının desteklenmesini kapsayacak şekilde genişletilmiştir.

192 sayılı Cumhurbaşkanlığı Kararnamesi uyarınca ise Siber Güvenlik Başkanlığı'nın görev ve yetkileri genişletilmiş ve buna ek olarak, kamuda yapay zekâ kullanımını gözetmekle ve uluslararası yapay zekâ düzenlemeleri ile uyuma katkı sağlamakla görevlendirilen Kamu Yapay Zekâ Genel Müdürlüğü kurulmuştur.

Söz konusu kurumsal gelişmeler devletin yapay zekâ alanında eşgüdümlü bir yönetişim modeli oluşturma yönündeki stratejik odağını yansıtmaktadır. Görev ve yetkileri genişletilen söz konusu kurumlar tarafından yayımlanabilecek ilave düzenleme ve rehberler, Türkiye'de yapay zekâ çözümleri veya bulut tabanlı hizmetler sunan şirketlerce yakından takip edilmelidir.

Anlık gönderilen bildirimler için parçalı açık rıza alınması gerekliliği

Kurum, mobil uygulamalar üzerinden anlık bildirimler (push notifications) gönderilmesine dair açık rıza gerekliliklerini açıklayan bir duyuru yayımlamıştır. Kurum, hâlihazırda birçok uygulamanın hem operasyonel bildirimleri (örneğin sipariş veya teslimat güncellemeleri gibi) hem de pazarlama bildirimlerini kapsayacak şekilde kurgulanmış tek ve birleştirilmiş bir onay mekanizmasına dayandığını, ancak bu yaklaşımın KVKK kapsamında geçerli açık rıza ölçütlerini karşılamadığını belirtmiştir.

Kurum, açık rızanın belirli bir konuya ilişkin, bilgilendirilmeye dayalı ve özgür iradeyle açıklanmış bir irade beyanı olması gerektiğini ifade etmiştir. Sipariş takibi gibi temel hizmetlere erişimin, kullanıcıların bununla ilgili olmayan pazarlama mesajlarını almayı kabul etmesi şartına bağlanması açık rızanın “özgür irade” unsurunu zedelemektedir. Kurum ticari elektronik iletilere ilişkin verdiği önceki kararlarıyla da uyumlu şekilde, kullanıcılara her bir veri işleme amacı bakımından ayrı ve bağımsız seçim imkânı sunulması anlamına gelen “parçalı açık rıza” alınması gerekliliğini vurgulamıştır.

Duyuruda ayrıca mobil uygulamaların teknik açıdan bu tür parçalı tercihleri destekleyecek şekilde tasarlanması gerektiği belirtilmiştir. Bu tür bir işlevselliğin bulunmaması, yalnızca açık rızanın geçersizliği anlamına gelmekle kalmayıp aynı zamanda KVKK'nın 12. maddesi uyarınca veri sorumlusunun veri güvenliğinin sağlanması için yeterli teknik ve idari tedbirleri alma yükümlülüğünün ihlal edilmesi sonucunu da doğuracaktır.

Veri ihlali bildirimlerinin yayımlanmasına ilişkin güncel politika

Kurum, 25 Aralık 2025 tarih ve 2025/2451 sayılı kararı ile kişisel veri ihlali bildirimlerinin internet sitesinde yayımlanmasına ilişkin uygulamasını değiştirmiştir. Önceki uygulamada Kurum'un internet sitesinde yayımlanan veri ihlali bildirimleri herhangi bir süre sınırlaması olmaksızın erişime açık tutulmaktaydı ve bu durum veri ihlalleri bakımından iyileştirme çalışmalarını ve ilgili kişilere bildirimlerini tamamlamış olsa dâhi veri sorumluları açısından devam eden itibar riskleri doğurmaktaydı.

Yeni uygulama kapsamında kişisel veri ihlali bildirimlerine ilişkin duyurular en fazla 60 gün süreyle yayımlanacaktır. İhlalden etkilenen tüm ilgili kişilere daha kısa bir süre içerisinde bildirim yapıldığının veri sorumlusu tarafından tevsik edilmesi halinde söz konusu duyuru Kurum'un internet sitesinden daha erken bir zamanda da kaldırılabilecektir. Bu yaklaşım, şeffaflık ile ölçülülük arasında bir denge kurulmasını ve bir yandan ilgili kişilerin hakları korunurken aynı zamanda kuruluşlar üzerinde gereği olmayan uzun vadeli itibar etkilerinin azaltılmasını amaçlamaktadır.

Diğer taraftan veri ihlali bildirimlerine ilişkin temel yükümlülükler aynı şekilde devam etmekte olup veri sorumluları herhangi bir veri ihlalini öğrendikleri andan itibaren en geç 72 saat içerisinde Kurum'a bildirimde bulunmakla ve ihlalden etkilenen ilgili kişileri makul olan en kısa süre içerisinde bilgilendirmekle yükümlüdür. Kurum bir veri ihlali bildirimine ilişkin duyurunun yayımlanıp yayımlanmayacağına karar verirken ihlalin ağırlığı, ihlale konu kişisel verilerin niteliği, ihlalden etkilenen ilgili kişi grupları, veri sorumlusunun faaliyette bulunduğu sektör ve etkilenen kişi sayısı gibi kriterleri göz önünde bulundurmaya devam edecektir.

Bilanço esasına göre defter tutmayan işletmeler için VERBİS kayıt istisnasının değerlendirilmesi

Kurum, bilanço esasına göre defter tutmayan veri sorumlularının VERBİS'e kayıt yükümlülüğünden istisna tutulmasına ilişkin kriterlerin değerlendirilmesini açıklığa kavuşturan bir duyuru yayımlamıştır.

Mevcut kurallar uyarınca, Türkiye'de yerleşik ve ana faaliyet konusu özel nitelikli kişisel veri işlemek olan veri sorumlularından yıllık çalışan sayısı 10'dan az ve yıllık mali bilanço toplamı 10 milyon TL'nin altında olanlar için VERBİS'e kayıt yükümlülüğü istisnası bulunmaktadır. Türkiye'de yerleşik diğer veri sorumluları bakımından ise yıllık çalışan sayısının 50'den az ve yıllık mali bilanço toplamının 100 milyon TL'nin altında olması halinde söz konusu istisna uygulanmaktadır.

Kurum, bilanço esasına göre defter tutan veri sorumluları bakımından bu iki kriterin (yıllık çalışan sayısı ve yıllık mali bilanço toplamı) birlikte sağlanması gereğinin devam ettiğini belirtmiştir. Buna karşılık, bilanço esasına göre defter tutmayan veri sorumluları bakımından ise yıllık mali bilanço toplamı bilgisi bulunmadığından bu değerlendirmenin yalnızca yıllık çalışan sayısı kriterine göre yapılacağı ifade edilmiştir. Bu kapsamda söz konusu işletmeler VERBİS kayıt yükümlülüklerini, yalnızca yıllık çalışan sayıları ve yürüttükleri veri işleme faaliyetlerinin niteliğini dikkate alarak değerlendirebilecektir.

2026 yılı için güncellenmiş idari para cezaları

KVKK'nın 18. maddesi uyarınca düzenlenen idari para cezaları yıllık yeniden değerleme oranı uyarınca 2026 yılı için %25,49 oranında artırılmıştır. Bu kapsamda uygulanabilir idari para cezası tutar aralığı 85.437 TL ila 17.092.242 TL olarak belirlenmiştir.

2026 yılı için güncellenen idari para cezası tutarları aşağıdaki şekildedir:

Aydınlatma yükümlülüğünün yerine getirilmemesi:

85.437 TL – 1.709.200 TL

85.437 TL – 1.709.200 TL Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi:

256.357 TL– 17.092.242 TL

256.357 TL– 17.092.242 TL Kurum kararlarının yerine getirilmemesi:

427.263 TL – 17.092.242 TL

427.263 TL – 17.092.242 TL VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi:

341.809 TL – 17.092.242 TL

341.809 TL – 17.092.242 TL Standart sözleşmelerin imza tarihinden itibaren beş iş günü içerinde Kurum'a bildirilmesi yükümlülüğünün yerine getirilmemesi:

90.308 TL – 1.806.177 TL

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.