Kişisel Verilerin Korunması Kanunu (“Kanun”), Nisan 2026’da onuncu yılını geride bırakmıştır. Özellikle 2025 Yılı Cumhurbaşkanlığı Yıllık Programı ve 2026-2028 Orta Vadeli Program’da belirtildiği üzere, başta General Data Protection Regulation (“GDPR”) olmak üzere, Avrupa Birliği müktesebatına uyum süreci ile ilgili çalışmalar hızlanarak somutlaşmaktadır. 1 Bu doğrultuda, yılın ilk yarısında Kişisel Verileri Koruma Kurumu (“Kurum”) ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından pek çok ilke kararı, duyuru ve rehber yayınlanmıştır. Ayrıca, kişisel verilerin korunması hukukundaki idari yaptırımlar ve Kanun’a dair tespitler bakımından Anayasa Mahkemesi (“AYM”) kararı dahil önemli gelişmeler gerçekleşmiştir. Bu yazımızda 2026 yılının ilk yarısında Türkiye’de kişisel verilerin korunması ve veri gizliliğine dair yaşanan önemli gelişmeleri kronolojik olarak ele alıyoruz.
I. Kurul Kararları, Kurum Duyuruları ve Rehberleri
A. Kanun Kapsamında 2026 Yılı için Uygulanacak Güncellenmiş İdari Para Cezası Tutarları2
Kurum, 31 Aralık 2025 tarihinde Kanun’un 18’inci maddesinde düzenlenen idari para cezalarının, 2026 yılı için yeniden değerleme oranında artırılmış tutarlarını gösteren tabloyu yayımlamıştır.
Bu kapsamda, 2026 yılı için uygulanacak idari para cezaları aşağıdaki gibi belirlenmiştir:
| Madde | Aykırılık Oluşturulan Kanun Maddesi | Açıklama | 2026 Yılı Ceza Tutarları (TRY) |
| 18/1/a | 10 | Aydınlatma yükümlülüğünü yerine getirmeme | 85.437 – 1.709.200 |
| 18/1/b | 12 | Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi | 256.357 – 17.092.242 |
| 18/1/c | 15 | Kurul kararlarının yerine getirilmemesi | 427.263 – 17.092.242 |
| 18/1/ç | 16 | Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi | 341.809 – 17.092.242 |
| 18/1/d | 9 | 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünün yerine getirilmemesi | 90.308 – 1.806.177 |
B. Kurul’un 4 Eylül 2025 tarihli ve 2025/1572 sayılı Kararının Uygulama Esaslarına İlişkin 12 Ocak 2026 tarihli Kamuoyu Duyurusu3
Söz konusu karar ile, 4 Eylül 2025 tarihli ve 2025/1572 sayılı Kurul Kararı ile güncellenen 19 Temmuz 2018 tarihli ve 2018/87 sayılı Kurul Kararında yer alan Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) kayıt muafiyet şartlarının, bilanço usulüne göre defter tutmayan veri sorumluları bakımından yıllık mali bilanço bulunmaması sebebiyle yalnızca yıllık çalışan sayısı kriterinin esas alınmasına karar verilmiştir. Bu vesileyle 2026 yılı için VERBİS kaydı muafiyet koşulları aşağıdaki şekilde olmuştur:
- Ana faaliyet konusu özel nitelikli kişisel veri işleme olmayan:
- Yıllık çalışan sayısı 50’den az, ve
- Yıllık mali bilanço toplamı 100 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumluları;
- Ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte:
- Yıllık çalışan sayısı 10’dan az, ve
- Yıllık mali bilanço toplamı 10 milyon Türk lirasından az olan gerçek veya tüzel kişi veri sorumluları.
C. Kurum’un Yapay Zekâ Araçları Kullanan Çocuklar için Ebeveynlere Yönelik 12 Ocak 2026 tarihli Tavsiyeleri4
İlgili tavsiyelerde Kurum, çocukların yapay zekâ kullanımında yaşa uygun uygulama seçilmesi, yapay zekâ araçları ile elde edilen bilgilerin her zaman doğru ve güvenilir olmayacağına dair farkındalık kazanılması, sahte içeriklere dikkat edilmesi, fotoğraf ve videoların paylaşımı konusunda tedbirli ve özenli olunması gibi önerilerin yanı sıra, çocukların kişisel verilerini yapay zekâ araçları üzerinden paylaşmamasına ilişkin uyarılara yer verilmiştir. Aynı zamanda, ebeveynlerin kullanılan yapay zekâ uygulamalarının çocuklar için uygun olup olmadığını denetleyebilmesi için 10 maddelik bir kontrol listesi paylaşılmıştır.
D. Kurum’un Mobil Uygulamalar Üzerinden Gönderilen Anlık Bildirimlere İlişkin 14 Ocak 2026 tarihli Kamuoyu Duyurusu5
Kurum tarafından mobil uygulamalar üzerinden gönderilen anlık bildirimlerin (push notifications), birden fazla amacı aynı anda kapsayacak şekilde “tek bir onay” olarak kullanılması durumunun, bir amacı gerçekleştirmek isteyen kullanıcının mecburen diğer amacı da kabul etmesinin, açık rızanın özgür irade unsurunu ortadan kaldırdığı ve bu sebeple hukuka uygun bir veri işleme şartı oluşturmadığı tespit edilmiştir. Bu kapsamda, söz konusu onay süreçlerinin, “parçalı açık rıza” ve “belirlilik” ilkeleri ışığında yeniden gözden geçirilmesi ve bildirim amaçlarının ayrıştırılarak kullanıcılara tercihlerini yönetme imkânı tanınmasını temin eden uygulama mimarisi değişikliklerinin yapılmasının önemli olduğu vurgulanmıştır.
E. Kurum’un Kamu Kurumlarında Yurt Dışı Menşeli Haberleşme Uygulamaları Kullanımına İlişkin 29 Ocak 2026 tarihli Kamuoyu Duyurusu6
İlgili duyuru, kamu personelinin WhatsApp gibi yurt dışı menşeli haberleşme uygulamalarını kullanmaya ve çeşitli gruplara katılmaya mecbur bırakıldığı, bu uygulamalar üzerinden emir ve talimat verildiği ve resmî belge ile evrak paylaşıldığı yönündeki ihbar ve şikâyetler üzerine yayımlanmıştır.
Kurum, 2019/12 sayılı Cumhurbaşkanlığı Genelgesi’nde yer alan yerli haberleşme uygulamalarının tercih edilmesi ve mobil uygulamalar üzerinden gizlilik dereceli veri paylaşılmaması yönündeki hükümleri hatırlatarak, yurt dışı menşeli uygulamalar üzerinden kişisel veri içeren bilgi ve belge paylaşımının Kanun’un 5 ve 6’ncı maddelerindeki işleme şartlarına uygun olması gerektiğini belirtmiştir.
Duyuruda, aykırı veri işleme faaliyetlerinin şikâyet veya re’sen incelemeye konu edilebileceği ve sorumluluğu tespit edilen kamu personeli hakkında disiplin hükümlerinin uygulanabileceği; ayrıca kamu personelinin cep telefonu numaralarının da kişisel veri olduğu ve bunların kurum içi süreçlerde kullanımının hukuka uygun bir işleme şartına dayanması gerektiği vurgulanmıştır.
F. Kurul’un Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında 11 Şubat 2026 tarihli 2026/266 sayılı İlke Kararı7
Kurul’un 28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete’de yayımlanan İlke Kararı, sadakat kartı sahibinin cep telefonu veya kart numarasının üçüncü bir kişi tarafından kasada bildirilmesi ve herhangi bir doğrulama yapılmaksızın sadakat kartı üzerinden işlem gerçekleştirilmesi uygulamasına ilişkindir.
Kurul, bu uygulamanın herhangi bir kişisel veri işleme şartına dayandırılamayacağını; üçüncü kişi tarafından yapılan alışverişe ilişkin fatura ve müşteri işlem bilgilerinin sadakat kartı sahibinin hesabına işlenmesinin “doğru ve gerektiğinde güncel olma” ilkesine aykırılık oluşturabileceğini değerlendirmiştir. Sadakat kartı üyelik sözleşmesinde kartın üçüncü kişilere kullandırılmaması yönünde kullanıcıya sorumluluk yüklenmesinin de veri sorumlusunun Kanun’un 12’nci maddesi kapsamındaki veri güvenliği yükümlülüğünü ortadan kaldırmadığı belirtilmiştir.
Bu çerçevede, herhangi bir doğrulama yapılmaksızın üçüncü kişilerin sadakat kartı üzerinden işlem gerçekleştirmesine imkân sağlayan uygulamaya son verilmesine ve üyelik oluşturma, puan kazanma veya kullanma ile indirim ve promosyonlardan yararlanma gibi işlemlerin ilgili kişinin bilgisi ve rızası dâhilinde gerçekleştiğini teyit edecek uygun doğrulama mekanizmalarının oluşturulmasına karar verilmiştir. Kurul, ilgili kişi gruplarının özellikleri ile işlem türünün risk düzeyine göre farklı doğrulama yöntemlerinin tercih edilebileceğini belirtmiş ve veri sorumlularına İlke Kararının Resmî Gazete’de yayımlanmasından itibaren altı aylık uyum süresi tanımıştır.
Konuya ilişkin olarak 28 Şubat 2026 tarihinde kararı özetleyen bir de duyuru yayımlanmıştır.8
G. Kurul’un Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında 18 Şubat 2026 tarihli ve 2026/347 sayılı İlke Kararı9
Kurul’un 24 Mart 2026 tarihli ve 33203 sayılı Resmî Gazete’de yayımlanan İlke Kararı, açık rıza metni ile aydınlatma metninin tek bir metin içerisinde iç içe sunulması, aydınlatma yapıldığına ilişkin olarak ilgili kişiden onay veya rıza istenmesi, başka veri sorumlularına ait metinlerin somut veri işleme faaliyetlerine uyarlanmaksızın kullanılması ve açık, sade ve anlaşılır olmayan, eksik, yanıltıcı veya gereğinden uzun metinlere yer verilmesi gibi uygulamada sıklıkla karşılaşılan hukuka aykırılıklar üzerine alınmıştır. Kurul, aydınlatma yükümlülüğünün ilgili kişinin talebine veya onayına bağlı olmadığını ve veri işleme faaliyetinin dayandığı işleme şartından bağımsız olarak, kişisel veriler işlenmeye başlanmadan önce yerine getirilmesi gerektiğini vurgulamıştır.
Buna göre, veri işleme faaliyetinin açık rıza şartına dayanması halinde aydınlatma metni ile açık rıza metninin farklı başlıklar altında ayrı metinler şeklinde düzenlenmesi; aynı sayfada sunulmaları durumunda ise iki metin bakımından ayrı beyanların alınması gerekmektedir. Veri işleme faaliyetinin Kanun’da öngörülen başka bir işleme şartına dayanması halinde ilgili kişiye ayrıca açık rıza metni sunulmaması; aydınlatma bakımından yalnızca metnin okunduğu ve bilgi edinildiği yönünde geri bildirim alınabilmesi, buna karşılık metinde yer alan veri işleme faaliyetlerinin onaylanmasının talep edilmemesi gerektiği belirtilmiştir.
Konuya ilişkin olarak 24 Mart 2026 tarihinde bir de duyuru yayımlanmıştır.10
H. Kurum’un 26 Şubat 2026 tarihinde yayımlanan “QR Kodlarla Gelen Risk: Quishing” Dokümanı11
Dokümanda, QR kodlar aracılığıyla gerçekleştirilen bir oltalama yöntemi olan ve “QR” (quick response) ve “phishing” kelimelerinin birleşiminden oluşan “quishing”’in tanımı yapılarak; quishing saldırılarının nasıl gerçekleştiği ve tespitinin nasıl yapılabileceğine dair açıklamalara yer verilmiştir.12 Ayrıca, bireylerin söz konusu quishing saldırılarına yönelik dikkat etmesi gereken aşağıdaki hususlar sayılmıştır:13
- Kamuya açık alanlardaki QR kodlara karşı dikkatli olunması,
- QR kodun kaynağının doğrulanması,
- Güvenilir QR okuyucuların tercih edilmesi,
- QR kodun taranması sonrasında yönlendirilen bağlantının incelenmesi,
- Kişisel bilgi taleplerine karşı dikkatli olunması,
- Cihaz ve hesap güvenliğinin güçlendirilmesi.
I. Kurul’un Toplu Yapılarda Apartman/Site Sakinlerine Ait Borç Bilgilerinin Ortak Yerlere Asılması Hakkında 18 Şubat 2026 tarihli ve 2026/348 sayılı İlke Kararı14
Kurul’un 31 Mart 2026 tarihli ve 33210 sayılı Resmî Gazete’de yayımlanan İlke Kararı, apartman veya site sakinlerinin adı, soyadı, daire numarası, borç tutarı, ödeme gecikme süresi, gecikme dönem sayısı ve malik veya kiracı olma bilgisi gibi kişisel verilerinin asansör, bina girişi ve koridor gibi ortak alanlara asılmasına ilişkindir. Kurul, 634 sayılı Kat Mülkiyeti Kanunu kapsamında diğer kat maliklerinin ortak giderler ve borçlar hakkında bilgi edinme hakkının bulunduğunu ve belirli veri paylaşımlarının “kanunlarda açıkça öngörülme” veya “bir hakkın tesisi, kullanılması veya korunması için zorunlu olma” işleme şartları kapsamında değerlendirilebileceğini kabul etmekle birlikte, bilgilendirmede kullanılan usulün de Kanun’un genel ilkeleri ve veri güvenliği hükümleriyle uyumlu olması gerektiğini belirtmiştir.
Bu kapsamda, kişisel veri içeren listelerin ortak alanlara asılması suretiyle muhatabı belirli olmayan bir kesime ifşa edilmesinin, söz konusu paylaşım yöntemi bakımından Kanun’un 5’inci maddesindeki herhangi bir işleme şartına dayanmadığı ve Kanun’un 12’nci maddesindeki veri güvenliği yükümlülüğüne aykırılık oluşturduğu değerlendirilmiştir. Bilgilendirmelerin, yalnızca ilgili kişilerin erişebileceği kapalı e-posta veya mesajlaşma grupları ya da bu hizmete özgülenmiş uygulamalar gibi yöntemlerle gerçekleştirilmesi gerektiği belirtilmiştir.
Konuya ilişkin olarak, 31 Mart 2026 tarihinde bir de duyuru yayımlanmıştır.15
J. Kurum’un Şubat ayında yayımlanan İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı Dokümanı16
İlgili doküman, iş yerlerinde üretken yapay zekâ araçlarının kullanımına ilişkin bir genel bakış sunmakta, üretken yapay zekâ araçlarının kontrol dışı kullanımı olarak nitelenen “gölge yapay zekâ” kavramına ve ortaya çıkan denetlenebilirlik ve hesap verebilirlik, karar kalitesi ve doğruluk, fikri mülkiyet ve ticari sırların korunması, kurumsal itibar ve güven kaybı, bilgi güvenliği ve siber güvenlik ve kişisel verilerin korunmasına ilişkin risklere yer vermektedir.17
Konuya ilişkin olarak 5 Mart tarihinde bir de duyuru yayımlanmıştır.18
K. Kurum’un Şubat ayında yayımlanan Etken Yapay Zekâ (Agentic AI) Dokümanı19
Dokümanda belirli hedeflere ulaşmak amacıyla çevresel koşulları değerlendirebilen, değişen durumlara uyum sağlayabilen ve farklı düzeylerde otonom biçimde eylem başlatabilen bütünleşik yapılar olarak tanımlanan “Etken YZ” (Agentic AI) ele alınmıştır.20
Etken yapay zekâ sistemlerinin potansiyel kullanım durumları ile bunların kullanımına ilişkin potansiyel risklerden de bahseden doküman, etken yapay zekâ sistemleri bağlamında kişisel verilerin korunması bakımından aşağıdaki prensiplerin dikkate alınabileceğini belirtmiştir:21
- Sistemlerin üstlendiği görevlerin niteliği ve ortaya çıkabilecek riskler dikkate alınarak, uygun açıklanabilirlik düzeyinin sağlamasına yönelik yaklaşımların belirlenmesi,
- Etken YZ sistemleri kapsamında ortaya konulan çıktılara dayanak oluşturan kişisel verilerin doğruluğunun sağlanması,
- Etken YZ sistemlerinin geliştirilmesi ve kullanımı sürecinde yer alan aktörlerin rollerinin açık bir şekilde tanımlanması,
- Etken YZ sistemlerinin yaşam döngüsü boyunca, kişisel verilerin korunmasına ilişkin hususlara “tasarımdan itibaren mahremiyet” (privacy by design) ve “varsayılan olarak mahremiyet” (privacy by default) yaklaşımlarının sistematik biçimde entegre edilmesi,
- Etken YZ sistemlerinin yaşam döngüsü boyunca ortaya çıkabilecek risklerin sistematik biçimde ele alınmasını sağlayacak risk değerlendirme mekanizmalarının benimsenmesi,
- Mevcut veri koruma ve yönetişim mekanizmalarının Etken YZ sistemlerinin yapısal özellikleri dikkate alınarak gözden geçirilmesi ve sistemlerin işleyişi, kullanım sınırları ile potansiyel riskleri konusunda, bu sistemlerin kullanımı veya işletilmesinde rol alan kişilere yönelik bilinçlendirme ve eğitim faaliyetlerinin yürütülmesi.
Konuya ilişkin olarak, 12 Mart 2026 tarihinde bir de duyuru yayımlanmıştır.22
L. Kurum’un İş Ortaklığı/Konsorsiyum/Adi Ortaklık Gibi Yapılar Nezdinde Gerçekleştirilen Faaliyetlerde İşlenen Kişisel Verilerin VERBİS’e Bildirimi Hakkındaki 16 Mart 2026 tarihli Kamuoyu Duyurusu23
Söz konusu duyuru, Kurul’un 9 Haziran 2021 tarihli ve 2021/569 sayılı Kararında belirlenen esasların altını çizmiştir. Böylece, iş ortaklığı, konsorsiyum ve adi ortaklık gibi yapıların, ortaklığı oluşturan taraflardan ayrı bir kişiliğe sahip olmamaları nedeniyle kendi adlarına VERBİS kaydı oluşturmamaları; öncelikle ortakların ayrı ayrı VERBİS kayıt yükümlülüğünün bulunup bulunmadığının tespit edilmesi gerektiği; VERBİS kayıt yükümlülüğü bulunan ortakların ise kendi faaliyetleri yanında ortaklık faaliyetleri kapsamında işlenen kişisel verilere ilişkin bilgileri de kendi VERBİS bildirimlerine dâhil etmeleri gerektiği belirtilmiştir.
M. Kurul’un Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında 29 Nisan 2026 tarihli ve 2026/921 sayılı İlke Kararı24
Kurul’un 2 Haziran 2026 tarihli ve 33273 sayılı Resmî Gazete’de yayımlanan İlke Kararında, çalışanların devam ve mesai takibinin parmak izi, yüz tanıma, iris veya retina taraması gibi biyometrik tanımlama sistemleri aracılığıyla gerçekleştirilmesine ilişkin tespitlere yer verilmiştir.
Kurul, işverenin çalışma sürelerini takip etme ve belgeleme yükümlülüğü bulunmakla birlikte, bu takibin biyometrik veri işlenmesi suretiyle yapılmasını öngören açık bir kanuni düzenleme bulunmadığını belirtmiştir. İstihdam ilişkisindeki yapısal güç dengesizliği, çalışanın rıza göstermemesi veya rızasını geri çekmesi halinde olumsuz sonuçlarla karşılaşma ihtimali ve rızanın geri alınabilirliğinin sistemin sürekliliğiyle bağdaşmaması nedeniyle, açık rızanın mesai takibi amacıyla biyometrik veri işlenmesi bakımından kural olarak yeterli bir hukuki zemin oluşturmayacağı değerlendirilmiştir.
Kurul ayrıca biyometrik veri işleme faaliyetinin elverişlilik, gereklilik ve orantılılık unsurları bakımından ayrı ayrı değerlendirilmesi gerektiğini; daha az müdahaleci yöntemlerin bulunduğu durumlarda ilgili kişinin geçerli açık rızası bulunsa dahi biyometrik mesai takibinin ölçülülük ilkesini karşılamayacağını kabul etmiştir. Bu nedenle mesai takibinin alternatif yöntemlerle (şifreli kart veya PIN tabanlı sistemler, imza ve kâğıt bazlı devam çizelgeleri, RFID/NFC kimlik kartları ya da denetçi gözetiminde elle giriş gibi) gerçekleştirilmesi gerektiği belirtilmiştir.
Karara ilişkin olarak 2 Haziran 2026 tarihinde bir de duyuru yayımlanmıştır.25
N. Kurum’un Bağlayıcı Şirket Kuralları Başvurusu Hakkındaki 21 Mayıs 2026 tarihli Duyurusu26
İlgili duyuruda, Kurum kendisine Sosyo-Plus Bilgi Bilişim Teknolojileri Danışmanlık Hizmetleri A.Ş. (“Insider One”) tarafından sunulan Bağlayıcı Şirket Kuralları (BŞK) başvurusunun değerlendirilip 20 Mayıs 2026 tarihinde onaylandığını belirtmiştir.
Böylelikle, Insider One, 2024 tarihindeki kapsamlı değişiklikler sonrası kişisel verilerin yurt dışına aktarımı için var olması gereken uygun güvencelerden biri olan Bağlayıcı Şirket Kurallarını Türkiye’de faaliyete geçiren ilk şirket olmuştur.
O. Kurum’un Apartmanlarda Güvenlik Kamerası Sistemi Kullanımında Dikkat Edilecek Hususlara Dair 8 Haziran 2026 tarihli Kamuoyu Duyurusu27
Duyuruda, apartman veya sitelerde ortak yerlerin korunması, genel güvenliğin sağlanması ve kat maliklerinin menfaatlerinin gözetilmesi gibi meşru amaçlarla güvenlik kamerası sistemi kurulmasının mümkün olduğu; ancak görüntü kaydının kişisel veri işleme faaliyeti teşkil etmesi nedeniyle hem Kanun’a hem de Kat Mülkiyeti Kanunu’na uygun hareket edilmesi gerektiği belirtilmiştir.
Kamera konumlarının apartman sakinlerinin makul mahremiyet beklentisini ihlal etmeyecek şekilde belirlenmesi, merdiven boşlukları ile daire kapısı açıldığında bağımsız bölümün içini gösterecek alanlara kamera yerleştirilmemesi, yüz tanıma ve ses kaydı gibi müdahaleci özelliklerin kullanılmaması, görüş açısının dar tutulması ve gereksiz alanların maskelenmesi gerektiği vurgulanmıştır. Asansörlerin kaçınılması güç, dar ve kapalı alanlar olması nedeniyle burada yapılacak gözetimin özel olarak gerekçelendirilmesi, kayıtların makul süreyle saklanması, erişimin yetkili kişilerle sınırlandırılması, aydınlatma yükümlülüğünün yerine getirilmesi ve gerekli teknik ve idari tedbirlerin alınması gerektiği ifade edilmiştir.
P. Kurum’un İş Yerlerinde Güvenlik Kamerası Sistemi Kullanımında Dikkat Edilecek Hususlara Dair 8 Haziran 2026 tarihli Kamuoyu Duyurusu28
Duyuruda, işverenlerin çalışanların kişiliğini, sağlık ve güvenliğini korumaya ilişkin hukuki yükümlülükleri çerçevesinde iş yerlerinde güvenlik kamerası kullanmasının mümkün olduğu; bununla birlikte işleme amacının somut olay özelinde önceden ve açık biçimde belirlenmesi ve kamera kullanımının veri minimizasyonu ile ölçülülük ilkelerine uygun olması gerektiği belirtilmiştir.
İş yeri güvenliği, suçların önlenmesi veya iş sağlığı ve güvenliğinin korunması için kurulan kameraların çalışanların devam durumunu, performansını veya disiplinini genel ve soyut biçimde denetlemek amacıyla kullanılmaması; tuvalet, soyunma odası, mescit ve dinlenme alanları gibi mahremiyet beklentisinin yüksek olduğu yerlere kamera yerleştirilmemesi gerektiği ifade edilmiştir.
Kamera konumu, görüş açısı, yakınlaştırma, izleme sıklığı ve ses kaydı özelliklerinin müdahalenin ağırlığı bakımından değerlendirilmesi; çalışanların aydınlatılması, kayıtların mümkün olan en kısa süreyle saklanması, otomatik imha mekanizmalarının kurulması, erişimin yetkili kişilerle sınırlandırılması ve kayıtların güvenliği ile gizliliğine ilişkin prosedürlerin belirlenmesi gerektiği vurgulanmıştır.
Q. Kurum’un Belediyelerin Turistik Tanıtım Amacıyla Yaptığı Canlı Yayınlara İlişkin 23 Haziran 2026 tarihli Kamuoyu Duyurusu29
Duyuruda; belediyelerce turistik tanıtım amacıyla kamusal alanlara yerleştirilen kameralar aracılığıyla internet üzerinden yapılan canlı yayınlarda gerçek kişilerin yüz görüntüleri ile araç plakalarının izlenebilmesi Kanun kapsamında kişisel veri işleme faaliyeti olarak değerlendirilmiş ve bu faaliyet “kanunlarda açıkça öngörülme” ile “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” işleme şartları bakımından incelenmiştir.
Bu kapsamda, belediyelerin turistik tanıtım amacıyla doğrudan kamerayla canlı izleme yapabileceğine dair ilgili mevzuatta açık bir yasal yükümlülük bulunmadığı; ilgili kişilerin sosyalleşmek, dinlenmek ve vakit geçirmek amacıyla kullandıkları alanlarda davranışlarının izlenmeyeceğine ilişkin objektif makul mahremiyet beklentisi taşıdığı ve bu nedenle söz konusu izlemelerin özel hayata saygı hakkına müdahale teşkil ettiği vurgulanmıştır. Görüntülerin sınırsız sayıda kişi tarafından erişilebilir olması ve kötü niyetli amaçlarla kullanılabilme ihtimali nedeniyle ilgili kişiler bakımından telafisi güç zararlar doğurma riski taşıdığı dikkate alındığında söz konusu müdahalenin orantılı olmadığı sonucuna varılmış, belediyelerin kişisel veri işlenmesine yol açan mevcut canlı yayın faaliyetlerini sonlandırmaları ve tanıtım faaliyetlerini kişisel veri içermeyen alternatif yöntemlerle yürütmeleri gerektiği ifade edilmiştir.
II. AYM’nin 16 Haziran 2026 Tarihli Kararı
AYM, 16 Haziran 2026 tarihli ve 33282 sayılı Resmî Gazete’de yayımlanan 2020/32193 başvuru numaralı kararı ile Kurul’un Kanun’da belirtilen alt sınırdan uzaklaşan idari para cezasının Anayasa’nın 38’inci ve 5237 sayılı Türk Ceza Kanunu’nun 2’nci maddesinde düzenlenen suçta ve cezada kanunilik ilkesi bakımından ihlal oluşturduğunu tespit etmiştir.30
Söz konusu tespitine gerekçe olarak, Kanun’da kişisel verilerin işlenme şartları belirtilirken verilerin kişinin kendisi tarafından alenileştirilmiş olması halinde ilgili kişinin açık rızasının aranmayacağının belirtildiği; ancak verilerin alenileşmesinin ne şekilde gerçekleşeceğine, alenileşme amacına ve kişisel verilerin alenileştirme amacına aykırı kullanılmasının bir yaptırıma bağlanıp bağlanmadığına ilişkin açık bir düzenlemeye yer verilmediği, alenileştirme amacına ilişkin açıklamaların ise Kurum’un Kişisel Verilerin Korunması Kanununa İlişkin Uygulama Rehberi’nde açıklanmaya çalışıldığı ve bu durumda söz konusu idari para cezası uygulamasının kanun hükmünün öngörülemez şekilde geniş yorumlanması ile mümkün olduğunu belirtmiştir.31
Suçta ve cezada kanunilik ilkesi ihlali tespiti sonrasında AYM kararında, bir taraftan başvurucunun adil yargılanma hakkı ve mülkiyet hakkı ihlali iddialarının incelenmesine gerek bulunmadığına karar verirken, diğer taraftan suçta ve cezada kanunilik ilkesinin ihlali tespiti çerçevesinde başvurucunun yeniden yargılama yapılması taleplerini de kabul etmiştir.32
Söz konusu AYM kararı, kişisel verilerin korunması mevzuatında belirtilen yükümlülükler ile bu yükümlülüklerin ihlali sonucunda Kurul’un uygulayacağı idari yaptırımların arasındaki bağlantının ortaya konulması bakımından önem taşımaktadır.
III. Değerlendirmeler
Türkiye, GDPR uyumluluk hedefleri kapsamında, kişisel verilerin korunması konusunun hukuki ve pratik altyapısının gittikçe güçlendirilerek geliştirilmesi konusunda kararlılığını sürdürmektedir. Bu kapsamda, uluslararası yaklaşımlar ve teknolojik gelişmeleri de göz önünde bulundurarak, proaktif bir bakış açısıyla hem hukuk pratisyenleri hem de ilgili kişiler nezdinde farkındalığın içselleştirilmesi ve ortaya çıkan sorunların temel hakların korunması ve mantık çerçevesinde çözülmesi için çabalarını devam ettirmektedir. 2026 yılının ilk yarısında yaşanan gelişmeler de, kişisel verilerin korunması hukukunun; yalnızca dokümantasyon üzerinden yürüyen bir uyum sürecine hapsolan bir alan değil, günlük hayata temas eden pek çok ürün ve hizmet bakımından pratik hususların tartışıldığı dinamik bir alan olduğunu yeniden ispatlamıştır.
Footnotes
1 Türkiye Cumhuriyeti Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı, “2025 Yılı Cumhurbaşkanlığı Yıllık Programı”, Ekim 2024, s. 88, Tedbir 359.2, https://www.sbb.gov.tr/wp-content/uploads/2024/11/2025-Yili-Cumhurbaskanligi-Yillik-Programi-05112024.pdf, erişim 18 Haziran 2026; Türkiye Cumhuriyeti Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı, “Orta Vadeli Program (2026-2028)”, Eylül 2025, s. 44, https://www.sbb.gov.tr/wp-content/uploads/2025/09/Orta-Vadeli-Program-2026-2028.pdf, erişim 18 Haziran 2026.
2 Kişisel Verileri Koruma Kurumu, “6698 Sayılı Kişisel Verilerin Korunması Kanunu Kapsamında İdari Para Cezası Tutarları”, https://www.kvkk.gov.tr/Icerik/8145/6698-sayili-kisisel-verilerin-korunmasi-kanunu-kapsaminda-idari-para-cezasi-tutarlari, erişim 18 Haziran 2026.
3 Kişisel Verileri Koruma Kurumu, “Kişisel Verileri Koruma Kurulunun 04.09.2025 tarihli ve 2025/1572 sayılı Kararının Uygulama Esaslarına İlişkin Kamuoyu Duyurusu”, 12 Ocak 2026, https://www.kvkk.gov.tr/Icerik/8577/kisisel-verileri-koruma-kurulunun-04-09-2025-tarihli-ve-2025-1572-sayili-kararinin-uygulama-esaslarina-iliskin-kamuoyu-duyurusu, erişim 18 Haziran 2026.
4 Kişisel Verileri Koruma Kurumu, “Yapay Zekâ Araçları Kullanan Çocukları İçin Ebeveynlere Yönelik Tavsiyeler”, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5NjRmZGEyY2I3ZDY.pdf, erişim 18 Haziran 2026.
5 Kişisel Verileri Koruma Kurumu, “Mobil Uygulamalar Üzerinden Gönderilen Anlık Bildirimlere İlişkin Kamuoyu Duyurusu”, https://www.kvkk.gov.tr/Icerik/8578/mobil-uygulamalar-uzerinden-gonderilen-anlik-bildirimlere-iliskin-kamuoyu-duyurusu, erişim 18 Haziran 2026.
6 Kişisel Verileri Koruma Kurumu, “Kamu Kurumlarında Yurt Dışı Menşeli Haberleşme Uygulamaları Kullanımına İlişkin Kamuoyu Duyurusu”, 29 Ocak 2026, https://www.kvkk.gov.tr/Icerik/8607/kamu-kurumlarinda-yurt-disi-menseli-haberlesme-uygulamalari-kullanimina-iliskin-kamuoyu-duyurusu, erişim 18 Haziran 2026.
7 Kişisel Verileri Koruma Kurulu, 2026/266 sayılı ve 11 Şubat 2026 tarihli İlke Kararı.
8 Kişisel Verileri Koruma Kurumu, “Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında İlke Kararı”, 28 Şubat 2026, https://www.kvkk.gov.tr/Icerik/8670/sadakat-kart-uyeligi-bulunan-bir-kisinin-cep-telefonu-numarasinin-veya-sadakat-kart-numarasinin-ucuncu-bir-kisi-tarafindan-alisveris-esnasinda-kullanilmasi-hakkinda-ilke-karari, erişim 18 Haziran 2026.
9 Kişisel Verileri Koruma Kurulu, 2026/347 sayılı ve 18 Şubat 2026 tarihli İlke Kararı.
10 Kişisel Verileri Koruma Kurulu, “Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında Kişisel Verileri Koruma Kurulunun 18.02.2026 Tarihli Ve 2026/347 Sayılı İlke Kararına İlişkin Kamuoyu Duyurusu” Kişisel Verileri Koruma Kurumu, 24 Mart 2026, https://www.kvkk.gov.tr/Icerik/8710/veri-sorumlulari-tarafindan-acik-riza-ve-aydinlatma-metinlerinin-ayri-ayri-duzenlenmesi-gerektigi-hakkinda-kisisel-verileri-koruma-kurulunun-18-02-2026-tarihli-ve-2026-347-sayili-ilke-kararina-iliskin-kamuoyu-duyurusu, erişim 18 Haziran 2026.
11 Kişisel Verileri Koruma Kurumu, “QR Kodlarla Gelen Risk: Quishing”, Şubat 2026, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5OWVmNzMzOWE4YWM.pdf, erişim 18 Haziran 2026.
12 Id., s. 4, 6-8.
13 Id., s. 9-10.
14 Kişisel Verileri Koruma Kurulu, 2026/348 sayılı ve 18 Şubat 2026 tarihli İlke Kararı.
15 Kişisel Verileri Koruma Kurumu, “Toplu Yapılarda Apartman/Site Sakinlerine Ait Borç Bilgilerinin Ortak Yerlere Asılması Hakkında Kişisel Verileri Koruma Kurulunun 18.02.2026 Tarihli ve 2026/348 Sayılı İlke Kararına İlişkin Kamuoyu Duyurusu”, 31 Mart 2026, https://www.kvkk.gov.tr/Icerik/8719/toplu-yapilarda-apartman-site-sakinlerine-ait-borc-bilgilerinin-ortak-yerlere-asilmasi-hakkinda-kamuoyu-duyurusu, erişim 18 Haziran 2026.
16 Kişisel Verileri Koruma Kurumu, “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı”, Şubat 2026, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5YTdkNjdjNzJlMjM.pdf, erişim 18 Haziran 2026.
17 Kişisel Verileri Koruma Kurumu, “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı”, Şubat 2026, s. 4-9, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5YTdkNjdjNzJlMjM.pdf, erişim 18 Haziran 2026.
18 Kişisel Verileri Koruma Kurumu, “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı”, 5 Mart 2026, https://www.kvkk.gov.tr/Icerik/8674/is-yerlerinde-uretken-yapay-zeka-araclarinin-kullanimi, erişim 18 Haziran 2026.
19 Kişisel Verileri Koruma Kurumu, “Etken Yapay Zekâ (Agentic AI)”, Şubat 2026, https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/MTY5YWE4ZDE0NWYwMWI.pdf, erişim 18 Haziran 2026.
20 Id., s. 3-4.
21 Id., s.17-40.
22 Kişisel Verileri Koruma Kurumu, “Etken Yapay Zekâ (Agentic AI)”, 12 Mart 2026, https://www.kvkk.gov.tr/Icerik/8683/etken-yapay-zeka-agentic-ai, erişim 18 Haziran 2026.
23 Kişisel Verileri Koruma Kurumu, “İş Ortaklığı/Konsorsiyum/Adi Ortaklık Gibi Yapılar Nezdinde Gerçekleştirilen Faaliyetlerde İşlenen Kişisel Verilerin VERBİS’e Bildirimi Hakkındaki Kamuoyu Duyurusu”, 16 Mart 2026, https://www.kvkk.gov.tr/Icerik/8692/is-ortakligi-konsorsiyum-adi-ortaklik-gibi-yapilar-nezdinde-gerceklestirilen-faaliyetlerde-islenen-kisisel-verilerin-verbis-e-bildirimi-hakkindaki-kamuoyu-duyurusu, erişim 18 Haziran 2026.
4]/a> Kişisel Verileri Koruma Kurulu, 2026/921 sayılı ve 29 Nisan 2026 tarihli İlke Kararı.
25 Kişisel Verileri Koruma Kurumu, “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 29.04.2026 Tarihli ve 2026/921 Sayılı İlke Kararına İlişkin Kamuoyu Duyurusu”, 2 Haziran 2026, https://www.kvkk.gov.tr/Icerik/8762/mesai-takibi-amaciyla-biyometrik-veri-islenmesi-hakkinda-kisisel-verileri-koruma-kurulunun-29-04-2026-tarihli-ve-2026-921-sayili-ilke-kararina-iliskin-kamuoyu-duyurusu, erişim 18 Haziran 2026.
26 Kişisel Verileri Koruma Kurumu, “Bağlayıcı Şirket Kuralları Başvurusu Hakkında Duyuru”, 21 Mayıs 2026, https://www.kvkk.gov.tr/Icerik/8757/baglayici-sirket-kurallari-basvurusu-hakkinda-duyuru, erişim 18 Haziran 2026.
27 Kişisel Verileri Koruma Kurumu, “Apartmanlarda Güvenlik Kamerası Sistemi Kullanımında Dikkat Edilecek Hususlara Dair Kamuoyu Duyurusu”, 8 Haziran 2026, https://www.kvkk.gov.tr/Icerik/8769/apartmanlarda-guvenlik-kamerasi-sistemi-kullaniminda-dikkat-edilecek-hususlara-dair-kamuoyu-duyurusu, erişim 18 Haziran 2026.
28 Kişisel Verileri Koruma Kurumu, “İş Yerlerinde Güvenlik Kamerası Sistemi Kullanımında Dikkat Edilecek Hususlara Dair Kamuoyu Duyurusu”, 8 Haziran 2026, https://www.kvkk.gov.tr/Icerik/8770/is-yerlerinde-guvenlik-kamerasi-sistemi-kullaniminda-dikkat-edilecek-hususlara-dair-kamuoyu-duyurusu, erişim 18 Haziran 2026.
29 Kişisel Verileri Koruma Kurumu, “Belediyelerin Turistik Tanıtım Amacıyla Yaptığı Canlı Yayınlar Hakkında Kamuoyu Duyurusu”, 23 Haziran 2026, https://www.kvkk.gov.tr/Icerik/8777/belediyelerin-turistik-tanitim-amaciyla-yaptigi-canli-yayinlar-hakkinda-kamuoyu-duyurusu, erişim 23 Haziran 2026.
30 Anayasa Mahkemesi Genel Kurulu, 2020/32193 başvuru numaralı ve 27 Ocak 2026 tarihli Viennalife Emeklilik ve Hayat A.Ş. Kararı, para. 45.
31 Id., para. 43.
32 Id., para. 46, 48.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]