- within International Law topic(s)
2025 yılı Kişisel Verileri Koruma Kurumu’nun (“Kurum”) veri sorumlularına yönelik yol gösterici mahiyetteki rehber ve yayınları, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) ilke kararları ve kamuoyu duyuruları, kişisel verilerin korunması alanındaki farkındalığın ve etkinliğin artırılmasına yönelik çalışmalar ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) etkin bir şekilde uygulanması ve başta rekabet, siber güvenlik, yapay zekâ, dijital etik ve diğer ilgili hukuk alanları ile kesişim noktalarının doğru biçimde ele alınmasına yönelik önemli gelişmelerin yaşandığı bir yıl oldu.
2025 yılında Türkiye’de yapay zekâ alanında düzenleyici çerçevenin oluşturulması bakımından önemli adımların atılmaya devam edildi. Her ne kadar henüz kapsamlı ve müstakil bir yapay zekâ kanunu yürürlüğe girmemiş olsa da, kanun teklifleri, ulusal yapay zeka eylem planları, veri koruma otoritesinin yaklaşımı ve bu alana özgü yayınladığı rehber ve yayınlar, Avrupa Birliği düzenlemelerinin etkisi birlikte değerlendirildiğinde, Türkiye’nin yakın gelecekte daha bütüncül, risk temelli ve uluslararası standartlarla uyumlu bir yapay zekâ düzenlemesini gündeme alma yolunda olduğunu gösterdi.
Veri sorumluları için özellikle yurt dışına veri aktarımı da dahil yoğun uyum çalışmalarının yürütüldüğü bir dönem oldu.
Kullanıcıların hayatlarında her geçen gün daha da merkezi bir rol oynayan ve büyük ölçekli veri toplama, işleme ve paylaşma süreçleri nedeniyle bireylerin mahremiyetine yönelik riskleri açısından, dijital platformlar özellikle Kurul’un odağında yer aldı.
Kurum’un yayımladığı 2025 yılına ilişkin faaliyet raporu, kişisel verilerin korunması alanında hem denetim ve yaptırım faaliyetlerinin hem de rehberlik ve farkındalık çalışmalarının yoğun şekilde devam ettiğini işaret ediyor. 2024 yılında yürürlüğe giren önemli Kanun değişikliklerinin ardından, 2025 yılı uygulamada özellikle yurt dışına veri aktarımı, standart sözleşmeler, VERBİS yükümlülükleri, veri ihlali bildirimleri ve ilgili kişi başvuruları bakımından yeni uygulama eğilimlerinin daha görünür hale geldiği bir yıl oldu. Kurum’un 2025 yılına ilişkin raporunda yayımladığı veriler, bir yandan veri sorumluları nezdinde uyum farkındalığının arttığını, diğer yandan ise özellikle usuli yükümlülükler, sicile kayıt/bildirim yükümlülüğü ve veri güvenliği süreçleri bakımından yaptırım riskinin önemini koruduğunu ortaya koymaktadır.
2025 Yılı Kurul Verileri
Bu çerçevede, 2025 yılı içerisinde Kurul tarafından toplamda 876 veri sorumlusu hakkında 352.510.494 TL idari para cezası uygulandığı Kurum’un yıllık raporunda ifade edilmiştir. İlgili cezaların dağılımına bakıldığında ise cezaların ağırlıklı olarak veri sorumluları siciline ve bildirim yükümlülüğünü aykırı hareket etme kapsamında verildiği görülmektedir.
2025 yılında Kurum’a 12.512 ihbar ve şikâyet intikal ettiği; geçmiş yıllardan devrolan dosyalarla birlikte toplam 15.578 dilekçe hakkında inceleme süreci yürütüldüğü belirtilmiştir. Sonuçlandırılan başvuruların büyük çoğunluğunun usul şartlarını taşımaması veya Kanun kapsamı dışında kalması nedeniyle reddedilmiş olması, ilgili kişi haklarının doğru kullanımı konusunda farkındalık ihtiyacının devam ettiğini göstermektedir.
Veri ihlalleri bakımından 2025 yılında Kurum’a 328 veri ihlali bildirimi yapıldığı belirtilmiş; bunların 105’i sonuçlandırılmış, 51’i Kurum tarafından ilan edilmiş ve 223’ünün incelemesi yıl sonu itibarıyla devam etmiştir. Bu veriler, veri sorumluları açısından veri ihlali müdahale planlarının, iç bildirim mekanizmalarının ve Kurum’a bildirim süreçlerinin önemini koruduğunu ortaya koymaktadır.
Yurt dışına veri aktarımı alanında ise standart sözleşme mekanizmasının uygulamada önemli ölçüde benimsendiği görülmektedir. 2025 yılında Kurum’a 2.497 standart sözleşme bildirimi yapıldığı belirtilmiştir. Buna karşılık, taahhütname mekanizması bakımından 90 başvurudan yalnızca 13’üne izin verilmiş, 76 başvuru reddedilmiş ve 1 başvurunun incelemesi devam etmiştir. Bu durum, standart sözleşmelerin yurt dışına aktarım süreçlerinde daha pratik ve yaygın bir uygun güvence aracı haline geldiğini göstermektedir. Ayrıca Kurul’a kendisine sunulan yurt dışına veri aktarım hususundaki bağlayıcı şirket kurallarını 20 Mayıs 2026’da onaylandığı duyurulmuştur. Bu Kurul tarafından onaylanan ilk bağlayıcı şirket kuralıdır.
Veri İhlal Bildirimlerinin Yayınlanmasında Yeni Karar
2025 yılında Kurum’un veri ihlal bildirimlerinin web sitesinde yayınlanması ile ilgili yaklaşımında önemli bir değişiklik meydana gelmiştir. Kurum internet sitesinde yayınlanmasına karar verilen veri ihlal bildirimleri bakımından süresiz ilan uygulamasına son vererek, bu süreyi 1 ay ile sınırlamıştır ve Kanun’un temel ilkeleriyle daha uyumlu bir yaklaşım sunmuş, veri sorumluları üzerindeki orantısız itibar etkilerini azaltarak marka ve ticari itibarlarının korunmasına katkı sağlamıştır.
Önemli Rehberler
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulamalar Rehberi güncellenmiş, özel nitelikli kişisel verilerin işlenmesi ile ilgili kanun değişikliği ile uyumlu olarak, özel nitelikli kişisel verilerin işlendiği durumlarda veri sorumlularının doğru hukuki sebeplere dayalı olarak özel nitelikli kişisel veri işlemeleri ve Kanun’a uygun şekilde yükümlülüklerini yerine getirmeleri için yol gösterici olması amacıyla Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber hazırlanmıştır.
Bireylerin para havalesi hizmetleri, POS hizmetleri, fatura aracılık hizmetleri ve mobil ödeme hizmetleri gibi hizmetlerden yararlanırken kişisel verilerinin korunması ve ilgili sektörde faaliyet gösteren veri sorumlularına yol gösterilmesi amacıyla Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi yayınlanmıştır.
Üretken yapay zekâ sistemlerinin kişisel verilerin korunması bağlamındaki etkilerinin değerlendirilmesi, bu sistemlerin geliştirilmesi ile kullanılmasında bireylerin mahremiyetine saygılı bir yaklaşımın teşvik edilmesi ve yaşam döngüsü boyunca gerçekleştirilen kişisel veri işleme faaliyetleri bakımından veri sorumlusu niteliğini haiz aktörlere yol gösterilmesi amacıyla “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi yayınlanmıştır.
İlke Kararları ve Kamuoyu Duyuruları
Kurul, Haziran 2025’te yayınlanan Ürün ve Hizmet Sunumu Sırasında İlgili Kişilere SMS ile Doğrulama Kodu Gönderilmesi Suretiyle Kişisel Verilerin İşlenmesi Hakkında 10/06/2025 Tarihli ve 2025/1072 sayılı İlke Kararı ile ürün ve hizmet sunumu sırasında ilgili kişilere SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin yaygın uygulamalardaki hukuka aykırılıkları gidermeyi amaçlamıştır. Karar, özellikle doğrulama kodlarının gerçekte ticari elektronik ileti izni veya açık rıza almak amacıyla kullanılması ve bu sürecin hizmetin zorunlu bir parçası gibi sunulmasını eleştirmekte; bu tür uygulamaların açık rızanın özgür iradeye dayanması ve bilgilendirmeye dayalı olması şartlarını ihlal ettiğini ortaya koymaktadır. Bu kapsamda Kurul, SMS doğrulama kodunun amacı ve sonuçları hakkında ilgili kişilere açık ve anlaşılır şekilde aydınlatma yapılmasını, farklı veri işleme faaliyetleri (örneğin üyelik, veri işleme izni ve ticari ileti onayı) için ayrı ayrı açık rıza alınmasını ve ticari ileti izninin ürün veya hizmet sunumunun zorunlu unsuru gibi sunulmamasını zorunlu kılmıştır.
Aralık 2025’te yayınlanan Turizm ve Otelcilik Sektöründe Konaklama Hizmeti Alan Kişilerin T.C. Kimlik Belgesi Fotokopisinin Kaydedilmesi Hakkında İlke Kararı ile konaklama hizmeti alan kişilerden kimlik belgesi fotokopisi alınmasının gereğinden fazla veri işleme teşkil ettiğini ve bu işlem için herhangi bir hukuki dayanak bulunmadığı değerlendirilmiştir. Ayrıca kimlik fotokopilerinde yer alabilecek din, kan grubu gibi özel nitelikli kişisel verilerin de işlenmesi riski bulunduğuna dikkat çekilmiştir. Bu çerçevede Kurul, konaklama tesislerinin kimlik fotokopisi alma uygulamasına son vermesi ve geçmişte bu şekilde elde edilen verilerin Kanun’un 7. maddesi uyarınca imha edilmesi gerektiğine karar vermiştir.
Kurum, Ocak 2025’te yayınladığı “Arabuluculuk Faaliyetleri Kapsamında Aydınlatma Yükümlülüğünün Yerine Getirilmesine” İlişkin Kamuoyu Duyurusu’nda arabuluculuk faaliyetleri kapsamında işlenen kişisel verilere ilişkin arabulucu tarafından Kanun’un 10 uncu maddesinde sayılan hususlarda ilgili kişilere ayrıca bilgi verilmesi suretiyle aydınlatma yükümlülüğünün yerine getirilmesi gerektiği belirtilmiştir.
Ağustos 2025’te alacaklı vekilleri tarafından yürütülen mesleki faaliyetler sırasında borcun tahsiline yönelik yapılan iş ve işlemlerde, borçlu sıfatını haiz ilgili kişilerin ve konu ile ilgisi olmayan ilgili kişinin yakını sıfatını haiz üçüncü kişilerin kişisel verilerinin işlenmesi bakımından Kanun’a uygun şekilde kişisel veri işleme faaliyetinin gerçekleştirilmesi için Alacaklı Vekilleri Tarafından Borçlu Olan İlgili Kişilerin Yakınlarına Ait Telefon Numaralarına Erişilmek Suretiyle Borç Bilgisinin Paylaşılmasına İlişkin Kamuoyu Duyurusu yayınlanmıştır.
Son Gelişmeler – 2026 İlk yarısı- Önemli İlke Kararları
Sadakat Kart Üyeliği Bulunan Bir Kişinin Cep Telefonu Numarasının veya Sadakat Kart Numarasının Üçüncü Bir Kişi Tarafından Alışveriş Esnasında Kullanılması Hakkında Kişisel Verileri Koruma Kurulunun 11/02/2026 Tarihli ve 2026/266 sayılı İlke Kararı ile, sadakat kart numarası veya cep telefonu numarası kullanılarak üçüncü kişiler tarafından doğrulama yapılmaksızın alışveriş yapılmasına imkân tanıyan uygulamaların hukuka aykırı olduğu değerlendirilmiş ve veri sorumlularına, işlemlerin ilgili kişinin bilgisi ve rızası dahilinde gerçekleştiğini teyit edecek etkin doğrulama mekanizmaları kurma yükümlülüğü getirilmiştir. Bu karar, veri güvenliği yükümlülüklerinin yalnızca teknik tedbirlerle sınırlı olmadığını, aynı zamanda kullanıcı işlemlerinin doğruluğunu ve yetkilendirilmesini sağlayacak süreçleri de kapsadığını açıkça ortaya koymaktadır ve 2026 yılı itibariyle veri koruma hukuku alanında çalışan profesyonellerin en önemli gündem maddelerinden biri olmuştur.
Veri Sorumluları Tarafından Açık Rıza ve Aydınlatma Metinlerinin Ayrı Ayrı Düzenlenmesi Gerektiği Hakkında Kişisel Verileri Koruma Kurulunun 18.02.2026 Tarihli ve 2026/347 Sayılı İlke Kararı ile uygulamada doğru şekilde uygulanmadığı görülen aydınlatma metinlerinin rıza metinlerinden ayrı şekilde hazırlanması konusunda detaylı açıklamalarda bulunulmuştur.
Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 29.04.2026 Tarihli ve 2026/921 Sayılı İlke Kararı ile biyometrik verilerin işyerinde mesai takibi amacıyla işlenmesi detaylıca ele alınmıştır ve genel ilkelere işaret edilerek biyometrik veri gibi özel nitelikli verilerin işlenmesindeki kısıtlamalara yer verilmiştir.
Kurum’un yapay zekâ temelli sistemlere ilişkin yaklaşımının da 2026 yılında daha görünür hâle geleceği beklenmektedir. Yılın ilk çeyreğindeki gelişmeler bu öngörüyü destekler nitelikte olup, Google Assistant hakkında yayımlanan kamuoyu duyurusunda, cihazların yanlış tetiklenmesi sonucu kullanıcıların özel konuşmalarının izinsiz kaydedildiği iddiaları üzerine re’sen inceleme başlatıldığı belirtilmiş; bu durum, yapay zekâ destekli sesli asistanların mahremiyet, veri güvenliği ve hukuka uygunluk bakımından doğrudan denetim konusu hâline geldiğini göstermiştir.
Benzer şekilde Grok yapay zekâ sistemine ilişkin kamuoyu duyurusunda da kullanıcı verilerinin model eğitimi amacıyla işlenmesine yönelik uygulamalar inceleme konusu yapılmış; şeffaflık ve kullanıcı kontrolü (opt-out mekanizmaları) eksikliklerinin önemli bir uyum riski oluşturduğu vurgulanmıştır.
2026’nın dikkat çeken bir diğer gelişmesi ise çocukların dijital ortamda korunmasına yönelik artan düzenleme eğilimidir. Kurum tarafından Şubat 2026’da yayımlanan duyuruda, çocukların sosyal medya kullanımında kişisel verilerinin işlenmesine ilişkin olarak başta büyük platformlar olmak üzere çeşitli hizmet sağlayıcılar hakkında re’sen inceleme başlatılmıştır. Bu gelişme, veri koruma hukukunda “çocuğun üstün yararı” ilkesinin artık daha aktif şekilde uygulandığını ve özellikle platform ekonomisinin çocuk kullanıcılar bakımından daha sıkı bir denetime tabi tutulacağını göstermektedir.
Tüm bu gelişmeler birlikte değerlendirildiğinde, veri koruma hukukunun; yalnızca klasik veri işleme faaliyetlerinden ziyade, yapay zekâ uygulamaları, kullanıcı doğrulama süreçleri, dijital platformlar ve hassas kullanıcı grupları (özellikle çocuklar) gibi alanlara odaklanan daha dinamik ve müdahaleci bir yapıya evrildiği görülmektedir. Önümüzdeki dönemde, bu yaklaşımın daha da güçlenerek devam etmesi, özellikle yapay zekâya özgü düzenlemelerin somutlaşması ve sektörel bazda daha detaylı yükümlülüklerin gündeme gelmesi beklenmektedir.
Yeni Gelişmeler – Anayasa Mahkemesi Kararı- Suçta ve Cezada Kanunilik ilkesi
Anayasa Mahkemesi’nin 27.01.2026 tarihli ve 2020/32193 başvuru numaralı Viennalife Emeklilik ve Hayat A.Ş. başvurusuna ilişkin kararı, 16.06.2026 tarihli ve 33282 sayılı Resmî Gazete’de yayımlandı. Kararda, kişisel verilerin hukuka aykırı işlenmesinin önlenmesi yükümlülüğü kapsamında uygulanan idari para cezası yönünden suçta ve cezada kanunilik ilkesinin ihlal edildiğine hükmedilerek Kurum’un şimdiye kadar uygulayageldiği idari para cezalarının dayanağının kanunda yer almadığına işaret edildi ve bu karar önemli tartışmaları beraberinde getirdi. Bu karar kabahatlerin Kanun kapsamında daha detaylı düzenlenmesi yönündeki ihtiyacın altını çizmiştir ve bu vesile ile GDPR’a uyum değişikliklerini de hızlandırabilir şeklinde yorumlanmaktadır.
Siber Güvenlik Kanunu – Siber Güvenlik Kurumu
2025 yılında yürürlüğe giren ve Türkiye’nin ilk detaylı siber güvenlik düzenlemelerini içeren Siber Güvenlik Kanunu ile siber uzayda faaliyet gösteren kamu kurum ve kuruluşları, kamu kurumu niteliğindeki meslek kuruluşları, gerçek ve tüzel kişiler ile tüzel kişiliği bulunmayan kuruluşları geniş şekilde kapsamına almakta; kritik altyapılar, kritik kamu hizmetleri, siber olaylar, veri ve log kayıtları, siber tehdit istihbaratı ve siber dayanıklılık gibi konuları düzenlemektedir. Kanun kapsamında yine 2025 yılında Siber Güvenlik Başkanlığı (SGB) kurulmuştur. Dijital Dönüşüm Ofisi de kapatılarak yetkileri SGB’ye devredilmiştir. Bu düzenleme, veri güvenliği, kritik altyapı, log yönetimi, olay müdahalesi ve veri yönetişimi konularını dijital dönüşüm projelerinin ayrılmaz parçası haline getirmektedir. Veri güvenliği ve dijital altyapı konusunda teknik ve idari yükümlülükler getiren düzenleme yeni denetim ve bildirim yükümlülükleri ile idari para cezası yaptırımlarını içermektedir.
2026 yılının ortasında ise Meclise sunulan teklif ile Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) internet ile ilgili olan yetkileri SGB kapsamı ve yetkisi altına girmesi amaçlanmaktadır. BTK’nın ise elektronik haberleşme ile ilgili piyasa düzenleyicisi yapısının güçlendirilmesi 5651 sayılı Internet Kanunu’nun icracısının da SBG olması amaçlanmaktadır. Bu şekilde, SBG’nin dijital alanda geniş yetkileri haiz olacağı görülmektedir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]