KVKK BÜLTEN- HAZİRAN 2025
Kişisel Verilerin Korunması Hukuku, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) ve ikincil düzenlemeleriyle birlikte sürekli gelişen ve güncellenen bir hukuk alanıdır. Bu alandaki uygulamalar yalnızca Kanun ve ilgili yönetmeliklerle sınırlı kalmayıp; Kişisel Verileri Koruma Kurulu’nun (“Kurul”) kararları, ilke kararları ve karar özetleriyle şekillenmekte ve somutlaşmaktadır. Bu kapsamda, ilgili ay bazında hazırlanan KVKK Bültenleri, veri koruma alanındaki güncel gelişmeleri takip etmek isteyenler için bir kaynak niteliği taşımakta, güncelliği sağlamayı ve ilgilileri bilgilendirmeyi amaçlamaktadır.
2025 Haziran ayında Kişisel Verileri Koruma Kurumu (“Kurum”) internet sitesi olan www.kvkk.gov.tr alan adlı sitede dört adet veri ihlal bildirimi, “İdari Para Cezalarının Tebliğinde Hazine ve Maliye Bakanlığı Gelir İdaresi Başkanlığının E-Tebligat Uygulamasının Kullanılması Hakkında Kamuoyu Duyurusu” ve SMS ile doğrulama kodu gönderilmesi hakkında bir kurul kararı yayınlanmıştır.
VERİ İHLAL BİLDİRİMLERİ
KVKK madde 12/5 uyarınca, işlenen kişisel verilerin hukuka aykırı yollarla üçüncü kişiler tarafından elde edilmesi hâlinde; veri sorumlusu, bu durumu ilgili kişiye ve Kurul’a ivedilikle bildirmekle yükümlüdür. Anılan hüküm çerçevesinde; Kurul, gerekli görmesi hâlinde söz konusu veri ihlalini kendi internet sitesi aracılığıyla veya uygun göreceği başka yöntemlerle kamuoyuna ilan edebilmektedir. İşbu düzenleme, veri ihlallerinin etkin şekilde yönetilmesini ve ilgili kişilerin zamanında bilgilendirilmesini teminen getirilmiştir.
Richemont İstanbul Lüks Eşya Dağıtım Anonim Şirketi
Veri sorumlusu sıfatını haiz Richemont İstanbul Lüks Eşya Dağıtım Anonim Şirketi tarafından Kurul’a iletilen veri ihlali bildirimine göre; ihlalin, Richemont Group bünyesinde görev yapan bir çalışanın hesabının yetkisiz kişi/kişilerce ele geçirilmesi ve bu hesap üzerinden veri sorumlusunun müşterilerine ait kişisel verilere erişilmesi suretiyle 17.01.2025 – 18.01.2025 tarihleri arasında gerçekleştiği ve 30.05.2025 tarihinde tespit edildiği belirtilmiştir.
İhlalden etkilenen ilgili kişi grubunun müşteriler/potansiyel müşteriler olduğu, etkilenen kişi sayısının 25.737 olduğu, ihlal kapsamında ilgili kişilere ait isim, e-posta adresi, ülke bilgisi, müşteri kimliği ve doğum tarihi bilgilerinin etkilendiği ifade edilmiştir.
İstanbul Gedik Üniversitesi
Veri sorumlusu sıfatını haiz İstanbul Gedik Üniversitesi tarafından Kurul’a iletilen veri ihlali bildirimine göre; ihlalin, veri sorumlusu adına veri işleyen şirkete ait sistemlere yetkisiz erişim sağlanması suretiyle 13.05.2025 – 14.05.2025 tarihleri arasında gerçekleştiği ve 14.05.2025 tarihinde tespit edildiği belirtilmiştir.
İhlalden etkilenen ilgili kişi gruplarının çalışanlar, kullanıcılar ve öğrenciler olduğu, ihlalden etkilenen kişi sayısının 23.269, kayıt sayısının ise 209.421 olduğu ifade edilmiştir. İhlal kapsamında ad, soyadı, kullanıcı adı, maskelenmiş ve yalnızca son dört hanesi görünür biçimde T.C. kimlik numarası, e-posta adresi, kurum-departman bilgileri ve kullanıcının trafik verilerinin ihlalden etkilendiği bildirilmiştir.
TCO Turkey Mücevherat Ticareti Limited Şirketi
Veri sorumlusu sıfatını haiz TCO Turkey Mücevherat Ticareti Limited Şirketi tarafından Kurul’a iletilen veri ihlali bildirimine göre; ihlalin, veri sorumlusunun ABD merkezli bağlı şirketi Tiffany and Company’ye ait bazı sistemlere yetkisiz bir üçüncü tarafça erişim sağlanması suretiyle 12.05.2025 – 16.05.2025 tarihleri arasında gerçekleştiği ve 04.06.2025 tarihinde tespit edildiği belirtilmiştir.
İhlalden etkilenen ilgili kişi gruplarının veri sorumlusu çalışanları ve müşterileri olduğu, kişi ve kayıt sayısının belirlenmesine yönelik çalışmaların sürdüğü ifade edilmiştir. İhlal kapsamında; çalışan ve danışman şirket dizini verileri niteliğindeki ad, iletişim bilgileri, unvan, yönetici bilgileri, kullanıcı adları ve karma şifrelerin etkilendiği, ayrıca devam eden soruşturma kapsamında müşteri adları, iletişim bilgileri, yaş, satış verileri ve cinsiyet bilgilerinin de ihlalden etkilenmiş olabileceği değerlendirilmiştir.
BeiGene Limited Şirketi
Veri sorumlusu sıfatını haiz BeiGene, Ltd. tarafından Kurul’a iletilen veri ihlali bildiriminde özetle;16 Haziran 2025 tarihinde, sınırlı sayıda kurumsal dosyanın iki harici dosya paylaşım platformuna (pastebin.com ve swisstransfer.com) yüklendiğinin tespit edildiği, söz konusu dosyaların, klinik çalışmaların planlanması ve takibi için kullanılan verileri içerdiği belirtilmiştir.
İhlalden etkilenen ilgili kişi gruplarının veri sorumlusu çalışanları ve hastalar olduğu, ihlalden Türkiye’den 17 çalışan ve 450 hasta olmak üzere 467 kişinin etkilendiği, ihlalden etkilenen kişisel veri kategorilerinin kimlik, iletişim ve sağlık bilgileri olduğu bildirilmiştir.
GRC LEGAL Yorumu
Haziran ayı içerisinde bildirilen veri ihlalleri, farklı sektörlerde faaliyet gösteren veri sorumlularının; üçüncü taraf sistem güvenliğine, veri işleyen denetimine ve uluslararası bağlı şirketlerin dijital altyapılarına ilişkin zafiyetlerin kişisel veri güvenliği bakımından ne denli kritik sonuçlar doğurabileceğini bir kez daha ortaya koymuştur.
İstanbul Gedik Üniversitesi’nde yaşanan ihlalde; veri sorumlusu adına hizmet sunan veri işleyene ait sistemlerde gerçekleşen yetkisiz erişim, veri işleyen tarafında teknik ve idari tedbirlerin yetersizliğini gündeme getirmektedir. Bu durum, özellikle eğitim ve kamu hizmeti sunan kurumlar açısından çok sayıda kişinin hassas verilerinin etkilenmesine neden olabilmektedir.
TCO Turkey Mücevherat Ticareti Limited Şirketi özelinde yaşanan ihlal ise, uluslararası şirketlerin global dijital altyapılarının güvenlik açıklarının yerel veri sorumlularını da doğrudan etkilediğini göstermektedir. Bu durum, yurtdışı merkezli bağlı şirketlerle olan veri entegrasyonu süreçlerinin, sadece sınır ötesi veri aktarımı bakımından değil, aynı zamanda siber güvenlik protokolleri ve kriz yönetimi açısından da bütüncül bir şekilde değerlendirilmesi gerektiğine işaret etmektedir.
Richemont İstanbul bünyesinde yaşanan ihlalde; bir çalışanın hesabı üzerinden gerçekleştirilen yetkisiz erişimle geleneksel “insan zafiyeti” kaynaklı ihlallerin hâlâ büyük ölçekli veri sızıntılarına sebep olabildiğini göstermektedir. Bu nedenle, çalışan hesaplarına yönelik çok faktörlü kimlik doğrulama, düzenli şifre güncellemeleri ve farkındalık eğitimleri gibi temel güvenlik önlemlerinin uygulanması kritik önemdedir.
BeiGene Limited tarafından bildirilen veri ihlalinde; klinik çalışmalarla ilgili kimlik, iletişim ve sağlık verilerinin yetkisiz şekilde pastebin.com ve swisstransfer.com gibi açık platformlara yüklenmesi nedeniyle ciddi bir güvenlik sorunu yaşanmıştır. Türkiye’den 467 kişinin etkilendiği olayda, özel nitelikli kişisel verilerin KVKK’ya aykırı şekilde ifşa edilmesi, veri sorumlusunun gerekli teknik ve idari tedbirleri almadığını açıkça göstermektedir.
Sonuç olarak, yaşanan ihlallerde; veri sorumlularının yalnızca kendi sistemlerine değil, hizmet aldıkları veri işleyenlerin ve bağlı oldukları grup şirketlerinin sistemlerine dair de etkin bir denetim mekanizması kurmalarının önemini göstermektedir. Kanaatimizce, veri güvenliği; teknik kapasite kadar organizasyonel sorumluluk, farkındalık ve sözleşmesel koruma ile birlikte değerlendirilmelidir.
KAMUOYU DUYURUSU
İdari Para Cezalarının Tebliğinde E-Tebligat Uygulamasına Geçildi!
Kanun’un 18. maddesi uyarınca Kurul tarafından verilen idari para cezalarının tebliğine ilişkin yapılan duyuruda; 5326 sayılı Kabahatler Kanunu’nun 26/4. maddesi kapsamında, Kurum ile Hazine ve Maliye Bakanlığı arasında yapılan protokol çerçevesinde, idari yaptırım kararlarının elektronik ortamda tebliğine imkân sağlayan teknik altyapı tamamlanmış ve Gelir İdaresi Başkanlığı’nın E-Tebligat Uygulaması kullanıma açılmıştır.
Buna göre, vergi mükellefi veri sorumlularına uygulanacak idari para cezaları, ilerleyen süreçlerde E-Tebligat sistemi üzerinden bildirilecektir. Ancak vergi mükellefiyet kaydı bulunmayan ya da kaydı silinen veri sorumluları için tebligatlar, 7201 sayılı Tebligat Kanunu hükümlerine göre klasik yöntemlerle yapılmaya devam edecektir. Bu değişiklik, idari yaptırımların muhataplarına daha hızlı ve etkin bir şekilde ulaştırılması açısından önemli bir gelişme olup, veri sorumlularının vergi mükellefiyet bilgilerini güncel tutmaları gerektiğini hatırlatmaktadır.
KURUL KARARI
2025/1072 sayılı SMS ile Doğrulama Kodu Gönderilmesi Hakkında İlke Kararı
Kişisel Verileri Koruma Kurumu tarafından 10 Haziran 2025 tarihli ve 2025/1072 sayılı İlke Kararı ile, ürün veya hizmet sunumu sırasında SMS ile doğrulama kodu gönderilmesi suretiyle kişisel verilerin işlenmesine ilişkin uygulamalara yönelik önemli tespitler yapılmıştır. Karar, özellikle ödeme, kayıt ve üyelik işlemleri sırasında kişilerin iletişim bilgilerinin doğrulama amacıyla talep edilmesi, ancak bu doğrulama üzerinden ticari elektronik ileti onayı alınması yönündeki yaygın uygulamaların hukuka aykırılığına odaklanmaktadır.
Kurul, açık rızanın belirli bir konuya özgü, bilgilendirmeye dayalı ve özgür iradeye dayanması gerektiğini vurgulamış; rızanın bir hizmetin ön koşulu haline getirilmesinin irade serbestisini ortadan kaldıracağını belirtmiştir. İlke Kararı’nda ayrıca aydınlatma yükümlülüğü ile açık rıza alma süreçlerinin birbirinden bağımsız ve ayrı ayrı yerine getirilmesi gerektiği, ticari elektronik ileti gönderimi için SMS doğrulama süreçlerinin açık rıza aracı olarak kullanılmasının hukuki sınırları, veri sorumlularına yönelik eğitim ve iç denetim yükümlülükleri detaylı şekilde açıklanmıştır.