KVKK BÜLTEN- MART 2025
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca KVKK ve KVKK’ya bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2025 Mart ayında Kişisel Verileri Koruma Kurumu (“Kurum”) internet sitesi olan www.kvkk.gov.tr alan adlı sitede üç adet veri ihlal bildirimi yayımlanmıştır.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Anadolu Anonim Türk Sigorta Şirketi
Veri sorumlusu sıfatını haiz olan Anadolu Anonim Türk Sigorta Şirketi tarafından Kurul’a iletilen veri ihlal bildirimine göre ihlalin, 25.02.2025 – 26.02.2025 tarihleri arasında gerçekleştiği ve 26.02.2025 tarihinde tespit edildiği, veri sorumlusu bünyesinde, poliçelere ilişkin dokümanların poliçe üretildiğinde otomatik olarak iletilmesini sağlayan bir geliştirme gerçekleştirildiği ve bu geliştirmenin 25.02.2025 tarihinde canlı ortama alındığı, yaklaşık 2 gün boyunca hem bireysel sağlık hem de grup sağlık ürünlerine ilişkin gönderimlerin otomatik olarak sağlandığı, grup sağlık ürünü alan bazı müşterilere ait hastalık verilerinin (hastalık mektubu), poliçede kapsam dışı tutulmasına rağmen bu müşterilerin sigorta ettiren şirketlere iletilmesi neticesinde ihlalin gerçekleştiği açıklanmıştır. Veri ihlalinden etkilenen ilgili kişi grubunun müşteriler olduğu, ihlalden 242 kişinin etkilendiği, ihlalden etkilenen kişisel verilen; ad, soyad, sigortalı adresi, poliçe numarası ve sağlık bilgileri olduğu belirtilmiştir.
Turknet İletişim Hizmetleri Anonim Şirketi
Veri sorumlusu sıfatını haiz olan Turknet İletişim Hizmetleri Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildirimine göre; ihlalin 26.02.2025 tarihinde başladığı ve 11.03.2025 tarihinde genele açık bir BTK şikayet kaydı ile tespit edildiği, ihlalin veri sorumlusu servislerinden birine gerçekleştirilen SQL Injection saldırısı neticesinde gerçekleştiği, ihlalden etkilenen ilgili kişi grubunun Aboneler/Üyeler olduğu, ihlalden etkilenen kişisel verilerin; müşterilere ait ad, soyad, telefon numarası, abonelik numarası, TC kimlik numarası, Turknet abonelik devre bilgileri, adres, statik IP bilgileri olduğu, açıklanmıştır. Veri sorumlusunun ilk incelemelerinde; ilgili log kayıtlarına bakıldığında 244.396 kullanıcının verilerinin sızdığının tespit edilebildiği, veri sorumlusu bünyesinde detaylı incelemenin devam ettiği, ilgili kişilerin 0850 288 80 80 / 0850 344 28 18 numaralı Turknet hızlı işlem hattından veya “Fulya, Büyükdere Cd. Torun Center No: 80 A Blok No: 74 A 34394 Şişli/İstanbul” posta adresinden ihlal ile ilgili bilgi alabileceği belirtilmiştir.
Bilfen Eğitim Kurumları Anonim Şirketi
Veri sorumlusu sıfatını haiz olan Bilfen Eğitim Kurumları Anonim Şirketi tarafından Kurul’a iletilen veri ihlal bildirimine göre; ihlal 12.03.2025 tarihinde başlamış olup aynı tarihte veri sorumlusunun WhatsApp hattına siber saldırgan/saldırganlar tarafından gönderilen bir mesaj ile tespit edildiği, ihlalden etkilenen veri kategorilerinin; kimlik, iletişim, işlem güvenliği, mesleki deneyim, görsel ve işitsel kayıtlar ile birlikte özel nitelikli kişisel verilerden sağlık bilgileri olduğu, ihlalden etkilenen kişi sayısının 24.061 olduğu, ihlalden etkilenen ilgili kişilerin; öğrenciler, öğrenci velileri ve çalışanlar olduğu, ilgili kişilerin, veri sorumlusuna ait bilfen.com.tr internet sitesi vasıtasıyla veri ihlaline ilişkin duyurulara ulaşabilecek ve ayrıca detaylı bilgi için kvkk@bilfen.com e-posta hesabı vasıtasıyla veri ihlali hakkında bilgi alabilecekleri belirtilmiştir.
GRC LEGAL Yorumu
Anadolu Anonim Türk Sigorta Şirketi tarafından Kurul’a bildirilen veri ihlalinde, özel nitelikli kişisel veriler başta olmak üzere tüm kişisel verilerin korunmasının önemi bir kez daha ortaya çıkmıştır. Kişisel verilerin güvenliği, yalnızca teknik tedbirlerle değil, doğru tasarlanmış uyum süreçleri ve etkin denetim mekanizmalarıyla güvence altına alınmalıdır. Özellikle canlı ortama alınan yeni geliştirmeler öncesinde, veri işleme senaryolarının kapsamlı bir şekilde test edilmesi, veri paylaşım süreçlerinin hassasiyetle denetlenmesi büyük önem taşımaktadır.
Bu tür ihlallerin önüne geçmek için, sistemsel kontrollerin artırılması, erişim yetkilendirme mekanizmalarının daha sıkı hale getirilmesi ve tüm kişisel verilerin işlenme süreçlerine yönelik düzenli güvenlik testleri yapılması gerekmektedir. Ayrıca, çalışan farkındalık eğitimleriyle birlikte süreç bazlı kontrollerin iç denetim birimleri tarafından sürekli gözden geçirilmesi, ihlallerin oluşmadan engellenmesine katkı sağlayacaktır. Kişisel verilerin korunması, yalnızca bir uyum yükümlülüğü değil, aynı zamanda kurumsal güvenin ve sürdürülebilir iş süreçlerinin temel unsurlarından biridir.
DUYURU
Taahhütname Başvurusu Hakkında Duyuru
VF Ege Giyim Sanayi ve Ticaret Limited Şirketi tarafından Kurum’a sunulan yurtdışına kişisel veri aktarımı yapılması hususundaki üç adet taahhütname başvurusu, Kurul tarafından KVKK m. 9/4-ç bendi kapsamında değerlendirilmiş ve usul ve esasa dair herhangi bir eksikliğin bulunmadığı tespit edilerek 12.03.2025 tarihinde söz konusu veri aktarımlarına izin verilmiştir.
REHBER
Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber
Kurum tarafından Eylül 2021 tarihinde yayımlanan “Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”) Mart 2025 itibarıyla güncellenmiştir.
Rehber’de yer aldığı üzere, biyometrik veriler; kişiyi benzersiz ve özgün bir şekilde tanımlayan veya kimliğini doğrulayan fiziksel, fizyolojik ya da davranışsal özelliklere dayalı teknik işlemler sonucu elde edilen verilerdir. Parmak izi, yüz tanıma, retina ve iris taraması, avuç içi izi, yürüyüş biçimi, klavyeye basış tarzı ve hatta araba sürüş şekli gibi veriler biyometrik veri kategorisine dahildir. KVKK, biyometrik verileri “özel nitelikli kişisel veri” olarak kabul etmekte ve bu verilerin işlenmesini sıkı düzenlemelere tabi tutmaktadır. Bu nedenle, biyometrik veri işleme süreçlerinde yasal uyumluluk sağlamak için belirli ilkelerin takip edilmesi zorunludur.
Bu kapsamda, öncelikle işleme faaliyetleri bireylerin temel hak ve özgürlüklerine zarar vermemelidir. Kişisel verilerin korunması hakkı, Anayasa tarafından güvence altına alınmış bir temel hak olduğu için biyometrik veri işleme süreçleri de hukuka uygunluk çerçevesinde değerlendirilmelidir. Biyometrik verinin işlenmesi, ulaşılmak istenen amaca uygun olmalı ve bu amaç için elverişli bir yöntem olarak seçilmelidir.
Alternatif yöntemlerin mevcut olduğu durumlarda, biyometrik veri işleme süreci ölçüsüz hale gelmektedir. Örneğin, spor salonu üyelerinin giriş-çıkış kontrolünü sağlamak için biyometrik veri kullanılmasına gerek olmadığı, bunun yerine kartlı geçiş sistemleri gibi kişisel verilerin daha az işlendiği ve haklara daha az müdahale eden yöntemlerin tercih edilebileceği ifade edilmektedir. Ancak, yüksek güvenlik gerektiren nükleer santral gibi tesislerde biyometrik doğrulama gibi yöntemlerin kullanılabileceği de değerlendirilmektedir. Bu noktada, her somut olay ayrı ayrı değerlendirilerek, biyometrik veri işleme faaliyetlerinin ölçülülük ilkesine uygun olup olmadığı belirlenmelidir. Kullanılan yöntemin ulaşılmak istenen amaç ile orantılı olması gerekmektedir; aksi takdirde, gereğinden fazla veri işleme faaliyeti bireylerin mahremiyet haklarını ihlal edebilecektir.
Biyometrik veri işlenmesi sürecinde dikkat edilmesi gereken en önemli hususlardan biri de verilerin sadece gerektiği süre boyunca saklanmasıdır. Veri işleme amacı ortadan kalktığında, biyometrik veriler gecikmeksizin imha edilmelidir. Veri sorumluları, işleme amacı doğrultusunda sınırlı olacak şekilde, ilgili kişilere KVKK m. 10’a uygun olarak aydınlatma yükümlülüğünü yerine getirmelidir. Kişilerin açık rızasının gerektiği durumlarda; bu rızanın özgür iradeye dayalı olması sağlanmalı, açık rıza herhangi bir zorlama veya mecburiyet altında alınmamalıdır. Bu çerçevede, örnek olarak bir işçinin, işverenine biyometrik veri sağlamak istememesi durumunda işçinin herhangi bir yaptırımla karşı karşıya kalmaması önem arz edecektir. İşçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından olumsuz sonuçlara yol açabileceği durumlarda, alınan rızanın özgür iradeye dayalı olmadığı kabul edilecektir.
Ek olarak, biyometrik veri güvenliği konusunda teknik ve idari tedbirlerin alınması zorunludur. Teknik tedbirler arasında biyometrik verilerin bulut sistemlerinde yalnızca kriptografik yöntemlerle muhafaza edilmesi, orijinal biyometrik verilerin yeniden elde edilmesine izin vermeyecek şekilde saklanması ve sistemlerin yetkisiz erişime karşı korunaklı hale getirilmesi bulunmaktadır. Veri sorumlusu, sistemi kurmadan önce ve herhangi bir değişiklikten sonra sentetik (gerçek olmayan) veriler aracılığıyla testler yapmalı ve test amaçlı kullanılan biyometrik verileri en geç testlerin sonunda silmelidir. Yetkisiz erişim durumlarında sistem yöneticisini uyaran veya biyometrik verileri otomatik olarak silen önlemler uygulanmalıdır. Aynı zamanda, biyometrik veri sistemlerinin donanımsal ve yazılımsal testleri periyodik olarak yapılmalı, kullanılan yazılımlar güncel tutulmalı ve tercihen açık kaynak kodlu yazılımlar tercih edilmelidir.
İdari tedbirler kapsamında, biyometrik veri kullanamayan bireyler için alternatif sistemler sağlanmalı ve biyometrik doğrulamanın başarısız olması durumunda uygulanacak bir eylem planı oluşturulmalıdır. Yetkili kişilerin biyometrik veri sistemlerine erişimi denetlenmeli ve belgelendirilmelidir. Ayrıca, biyometrik veri işleme sürecinde yer alan personelin özel eğitimler alması sağlanmalı ve bu eğitimler belgelendirilmelidir. Çalışanların sistem ve servislerde oluşabilecek güvenlik zafiyetlerini bildirebilmeleri için resmi bir raporlama prosedürü oluşturulmalıdır. Olası bir veri ihlali durumunda uygulanacak acil durum prosedürleri hazırlanmalı ve ilgili tüm taraflara duyuru yapılmalıdır.
Sonuç olarak, biyometrik verilerin işlenmesi, hukuki ve teknik gerekliliklere uygun şekilde yürütülmelidir. Veri sorumluları, biyometrik veri işleme faaliyetlerini yalnızca gerçekten gerekli olduğu durumlarda gerçekleştirmeli ve alternatif yöntemleri öncelikli olarak değerlendirmelidir. Aynı zamanda, veri güvenliği ve mahremiyetin korunması için gerekli tüm teknik ve idari önlemleri almakla yükümlüdürler. Biyometrik verilerin işlenmesine yönelik düzenlemeler, bireylerin temel hak ve özgürlüklerini koruma amacı taşıdığından, bu süreçlerde hassasiyet gösterilmesi büyük önem arz etmektedir.
GÜNDEM HABERİ
Kişisel Verilerin Korunması Mevzuatı Değişiklikleri: Yeni Dinamikler ve Mevzuat Uyum Çalıştayı
14 Mart 2025 tarihinde Kurum ve Mevzuat Uyum Derneği tarafından düzenlenen “Kişisel Verilerin Korunması Mevzuatı Değişiklikleri: Yeni Dinamikler ve Mevzuat Uyum Çalıştayı” (“Çalıştay”); Boğaziçi Üniversitesi’nde Kurum Başkanı Faruk Bilir, Mevzuat Uyum Derneği Yönetim Kurulu Başkanı Gürdoğan Yurtsever, Mevzuat Uyum Derneği Yönetim Kurulu Başkan Yardımcısı Burak Şenol, Galatasaray Üniversitesi Öğretim Üyesi Dr. Osman Gazi Güçlütürk, Boğaziçi Üniversitesi Öğretim Üyesi Doç. Dr. Aslı Deniz Helvacıoğlu ve Kurumu temsilen KVK Uzmanlarının katılımlarıyla gerçekleştirilmiştir.
Ekibimizin Kıdemli Avukatı, Mevzuat Uyum Derneği KVK Çalışma Grubu üyesi Zeynep Naz Topaloğlu KVK Uzmanlarına sorular yöneltilirken; ekibimizin Avukatlarından, Mevzuat Uyum Derneği KVK Çalışma Grubu üyesi Melike İşgören etkinliğin sunuculuğunu üstlenmiştir.
Kurum Başkanı Faruk Bilir’in Açıklamaları
Kurum Başkanı Faruk Bilir, kişisel verilerin korunmasına ilişkin güncel gelişmelere dair açıklamalarda bulunmuş ve önemli değerlendirmeler gerçekleştirmiştir. Bu kapsamda, 1932 adet standart sözleşmenin Kurum’a sunulduğunu ve Mart 2025 tarihi itibarıyla yurtdışına kişisel veri aktarımı yapılması hususundaki üç adet taahhütname başvurusunun onaylandığını belirtmiştir. Standart sözleşme süreçlerinin genel olarak düzenli işlediğini ve bildirimlerin süresi içinde yapıldığını ifade eden Bilir, bu çerçevede henüz herhangi bir yaptırım uygulanmadığını dile getirmiştir. Bununla birlikte, standart sözleşmelerin Türkçe ve İngilizce olarak hazırlanabileceğini, ancak Türkçe metnin esas alınması ve her iki metnin de imzalanması gerektiğini vurgulamıştır.
Gereklilik ve zorunluluk konularının rehberde açıklandığını ve örneklerle desteklendiğini belirten Bilir, rehberlerin doğrudan bağlayıcı olmasa da Kurul’un bakış açısını yansıttığını, bu nedenle dikkate alınması gerektiğini ifade etmiştir.
Önemli değerlendirmelerden biri de; KVKK madde 4’te yer alan “gerektiğinde güncel” ifadesinin, veri sorumlularına periyodik güncelleme zorunluluğu getirmemekle birlikte ilgili kişinin zarar görmesi durumunda bu zorunluluğun gündeme gelebileceği olmuştur. Veri işleyen ve veri sorumlusu ilişkilerine de değindiği konuşmasında; bilindiği üzere veri işleyenin veri sorumlusunun emir ve talimatlarının dışına çıkması halinde veri sorumlusuna dönüşerek idari para cezasına tabi olabileceğini ifade etmiş, bununla birlikte veri işleyenin standart sözleşme bildirimini yapabilmesi için veri sorumlusunun talimatına ihtiyaç duymadığını vurgulamıştır.
Faruk Bilir açıklamalarında, elektronik para kuruluşlarına yönelik rehberin tamamlandığını ve ilerleyen günlerde yayımlanacağını da duyurmuştur.
KVK Uzmanlarının Açıklamaları
İkinci oturumda, Kurum’u temsilen Çalıştay’a katılan KVK Uzmanlarına mevzuat değişiklikleri sonrası uygulama ve pratikte soru işareti yaratan, oldukça tartışılan sorular yöneltilmiş ve detaylı değerlendirmeler içeren cevaplar alınmıştır.
Özellikle yurt dışına kişisel veri aktarımı süreçleri etrafında şekillenen sorular kapsamında, KVK Uzmanları, KVKK madde 9 kapsamında açık rızanın yalnızca arızi veri aktarımı çerçevesinde kullanılabileceği ve arızi kavramının, sistematik olmayan ve olağan faaliyet akışına dahil olmayan veri aktarımlarını ifade ettiğini belirtmiştir. Bununla birlikte, bu durumlarda dahi ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi gerektiği vurgulanmıştır. Arızi aktarımın bir veya birkaç kez gerçekleşebileceği ancak olağan faaliyet kapsamında olmaması gerektiğini ifade eden Uzmanlar, veri sorumlusunun faaliyetlerinin niteliğini göz önünde bulundurarak bu ayrımı yapması ve somut olay bazında süreci yorumlaması gerektiğini dile getirmiştir.
Standart sözleşmelerin hukuki dayanağının KVKK madde 5 ve 6 kapsamında olduğu belirtilirken, hukuki sebebin veri işleme şartı olduğu ve aktarımın hangi işleme şartına dayalı olarak gerçekleştirildiğinin standart sözleşmelerde açıkça belirtilmesi gerektiği ifade edilmiştir. Avrupa Birliği mevzuatına göre arıziliğin istisnai bir aktarım olarak değerlendirildiği ve dar yorumlanması gerektiği vurgulanırken, bu kapsamda uygun güvencelere başvurulmasının daha sağlıklı olacağı açıklanmıştır.
Uzmanlar tarafından, standart sözleşme bildirimlerinin başladığı ve 2025 yılı ocak ayında ilgili rehberin yayımlandığını belirtilirken, tarafların standart sözleşmeler içerisinde dolduracağı bölümlerin sınırlı olduğu ifade edilmiştir. Rehber’de belirlenen çerçevede tarafların değişiklik yapamayacağı ve KVKK ile Kişisel Verilerin Yurtdışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’e uygun şekilde hazırlanan standart sözleşmelerin içerik olarak özellikle bir incelemeye tabi tutulmayacağı, bu süreçte asıl amacın veri transferinin kolaylaştırılması olduğu belirtilmiştir.
Bildirilen standart sözleşmelerde eksiklik veya hata tespit edilmesi durumunda Kurum’a bildirimde bulunan taraf ile yazışma yapılarak düzeltmelerin gerçekleştirilebileceği dile getirilirken, standart sözleşme içerisinde ekleme veya çıkarma yapılması ya da tarafların imzasının eksik olması halinde, esaslı inceleme yapılacağı ve akabinde karar verileceği açıklanmıştır.
Uzmanlar, yabancı dildeki her belgenin noter onaylı çevirisinin sunulması gerektiğini belirtirken, resmî belgeler için tasdik işlemlerinin dış temsilciliklerde yapılması gerektiğini vurgulamıştır. İkili anlaşma yapılan ülkelerde apostil şerhi aranmadığı ve bu durumda yalnızca noter onaylı tasdikin yeterli olacağı aktarılmıştır.
Bir başka önemli nokta olarak; ilgili kişilerin veri aktarımı yapabileceği ülkelerde yalnızca veri koruma otoritesinin bulunmasının yeterli olmayacağı, aynı zamanda uygun güvencelerin sağlanması ve hak arama yöntemlerinin oluşturulması gerektiği ifade edilmiştir.
Transfer etki değerlendirmesi yapılmasının zorunlu olduğu vurgulanırken, Avrupa Veri Koruma Kurulu tarafından yayımlanan ek güvencelere ilişkin dokümanların örnek alınabileceği belirtilmiş; ayrıca, veri koruma otoritelerinin bağımsız olması, yaptırım uygulayıp uygulamadığı, yetkilerinin kapsamı ve yabancı ülke vatandaşlarının haklarının korunup korunmadığının da dikkate alınması gerektiğinin altı çizilmiştir.