KVKK BÜLTEN- NİSAN 2025
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca KVKK ve KVKK’ya bağlı yürürlüğe konulan ikincil düzenlemeler ile değil; Kişisel Verileri Koruma Kurulu (“Kurul”) Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kurul uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.
2025 Nisan ayında Kişisel Verileri Koruma Kurumu (“Kurum”) internet sitesi olan www.kvkk.gov.tr alan adlı sitede üç adet veri ihlal bildirimi yayımlanmıştır. Bununla birlikte, Kurum tarafından “Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi” ve “2024 Faaliyet Raporu” yayımlanmıştır. Ek olarak, Kurum tarafından KVKK değişikliklerine istinaden “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” güncellenmiş olup “Yapay Zekâ Teknolojilerine Akademik Bakış” isimli kitap yayımlanmıştır.
VERİ İHLAL BİLDİRİMLERİ
“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5 “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Bellapais El Ayak Bakımı ve Güzellik Salonu Ticaret Limited Şirketi
Veri sorumlusu sıfatını haiz Bellapais El Ayak Bakımı ve Güzellik Salonu Ticaret Limited Şirketi tarafından Kurul’a iletilen veri ihlali bildirimine göre, ihlalin; yapılan siber saldırı neticesinde veri sorumlusu sistemine yetkisiz erişim sağlanarak sistemdeki verilerin ele geçirilmesi suretiyle gerçekleştiği, 03.04.2025 tarihinde tespit edildiği ve ihlalden çalışanlar, kullanıcılar ve müşteriler/potansiyel müşterilerin etkilendiği açıklanmıştır.
İhlal kapsamında ad, soyad, T.C. kimlik numarası, doğum tarihi, cinsiyet, anne ve baba adı, telefon numarası, adres bilgileri, müşteriyle yapılması planlanan işlemler, alınan ödeme bilgileri (tutar, işlem açıklamaları vb.) ve sağlık verilerinin (varsa beyan edilen kronik rahatsızlık bilgileri) etkilendiği, ihlalden etkilenen kişi sayısının 83.070 olduğu ve ilgili kişilerin veri sorumlusunun çağrı merkezi ve sosyal medya mecraları aracılığıyla bilgi alabilecekleri ifade edilmiştir.
Robotistan Elektronik Ticaret Anonim Şirketi
Veri sorumlusu sıfatını haiz Robotistan Elektronik Ticaret Anonim Şirketi tarafından Kurul’a iletilen veri ihlali bildirimine göre; siber saldırganların veri sorumlusu ile e-posta aracılığıyla iletişime geçerek kendilerine ait verileri ele geçirdiklerini belirttikleri, veri sorumlusunun internet sitesi altyapı sağlayıcısı olarak T-Soft üzerinden hizmet aldığı, ihlalin 2024 yılı Şubat ayında başladığı ve 07.04.2025 tarihinde tespit edildiği belirtilmiştir.
İhlalden etkilenen kişi grubunun müşteriler ve potansiyel müşteriler olduğu, ihlalden etkilenen ilgili kişi sayısının henüz belirlenemediği, ihlal kapsamında ilgili kişilere ait ad, soyad, telefon numarası, adres bilgileri ve sipariş bilgilerinin ihlalden etkilendiği ifade edilmiştir.
Kullanatmarket Elektronik Pazarlama Ticaret Anonim Şirketi
Veri sorumlusu sıfatını haiz Kullanatmarket Elektronik Pazarlama Ticaret Anonim Şirketi tarafından Kurul’a iletilen veri ihlali bildirimine göre; ihlalin 30.09.2024- 09.04.2025 tarihleri arasında gerçekleştiği ve 08.04.2025 tarihinde tespit edildiği, kişisel veri içeren bazı dosyaların (veri tabanı dosyaları) siber saldırganlar tarafından ele geçirilmesi suretiyle veri ihlalinin meydana geldiği belirtilmiştir.
İhlalin, T-Soft tarafından sağlanan e-ticaret altyapısı üzerinde barındırılan yönetim paneli ve web uygulama bileşenleri üzerinde gerçekleştiği, ihlalden müşteriler ve potansiyel müşterilerin etkilendiği, etkilenen kişi sayısının henüz tespit edilemediği ifade edilmiştir. İhlal kapsamında ilgili kişilere ait kimlik (ad, soyadı), iletişim (e-posta adresi, telefon numarası, olası adres bilgileri), müşteri işlem (sipariş detayları, işlem geçmişi) ve işlem güvenliği (kullanıcı oturumlarına ait IP adresi, kullanıcı adı vb. bilgilerin yer aldığı kayıtlar) verilerinin ihlalden etkilendiği, ilgili kişilerin kvkk@kullanatmarket.com e-posta adresi aracılığıyla veri ihlali hakkında bilgi alabilecekleri belirtilmiştir.
GRC LEGAL Yorumu: 2025 Nisan ayında bildirilen veri ihlalleri, kişisel verilerin korunmasına dair sistemsel zafiyetlerin ve siber güvenlik açıklarının hem küçük ölçekli hizmet sağlayıcıları hem de e-ticaret platformları açısından ciddi riskler doğurduğunu göstermektedir.
Bununla birlikte, Robotistan Elektronik Ticaret Anonim Şirketi ve Kullanatmarket Elektronik Pazarlama Ticaret Anonim Şirketi’nin altyapı sağlayıcısı olarak T-Soft üzerinden hizmet aldığı dikkat çekmektedir. Bu kapsamda, veri sorumlularının hizmet aldığı veri işleyenlere yönelik gerekli tedbirleri alması noktasında, teknik ve hukuki denetimlerin yapılması ve veri işleme süreçlerinin tasarım aşamasından itibaren gizlilik ve güvenlik ilkeleriyle bütünleşmiş bir biçimde yürütülmesi, bu tür ihlallerin önüne geçilmesinde kritik rol oynayacaktır. Zira, kişisel verilerin korunmasının, yalnızca bir yükümlülük değil; itibar, müşteri ilişkileri ve hukuki sorumluluk bakımından doğrudan sonuç doğuran kritik bir risk yönetimi olduğu açıktır.
REHBERLER
Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi
Kurum, Nisan ayı içerisinde “Ödeme ve Elektronik Para Sektöründe Kişisel Verilerin Korunmasına İlişkin İyi Uygulamalar Rehberi”ni yayımlamış olup işbu Rehber, sektörde faaliyet gösteren ödeme ve elektronik para kuruluşlarının KVKK kapsamındaki sorumluluklarını açıklığa kavuştururken; veri işleme faaliyetlerine ilişkin sektöre özgü örnek senaryolar ve yorumlarla uygulayıcılara yol göstermeyi amaçlamaktadır. Özellikle veri sorumlusu ve veri işleyen rollerinin ayrımı, açık rıza gerektiren faaliyetlerin kapsamı ve teknik-idari tedbirlerin sektörel mevzuatla ilişkilendirilmesi açısından rehber dikkat çekici niteliktedir. İşbu Rehber’e ilişkin detaylı incelemelerimiz LinkedIn sayfamızda paylaşılacaktır.
Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber
2024 tarihinde gerçekleşen KVKK reformu kapsamında özel nitelikli kişisel verilerin işlenme şartlarında yapılan değişikliklerin ardından, ilgili düzenlemelere uyum sağlamak amacıyla “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” Nisan 2025 itibarıyla güncellenmiştir.
Özel nitelikli kişisel verilerin işlenmesi kapsamında KVKK madde 6’da gerçekleştirilen esaslı değişiklikler sonrası, özel nitelikli kişisel veri kategorisinde yer alan genetik verilerin işlenmesine ilişkin esasları düzenleyen ilgili Rehber’in güncellenmesi oldukça yerindedir. Bu çerçevede uygulayıcıların ve genetik veri işleme faaliyetinde bulunan veri sorumlularının Rehber’i yeni bir gözle tekrar incelemeye alması faydalı olacaktır. İlgili güncellemenin, yalnızca özel hukuk tüzel kişileri değil; aynı zamanda genetik veri işleme faaliyeti ile teması bulunabilecek kamu kurumları, sağlık hizmeti sunucuları, sigorta şirketleri ve genetik test hizmeti sağlayan tüm aktörler için uygulamada yol gösterici nitelikte olacağı kanaatindeyiz.
KİTAP DUYURUSU
Yapay Zekâ Teknolojilerine Akademik Bakış Kitabı
Yapay zekâ teknolojilerinde yaşanan hızlı gelişmeler, yalnızca teknik boyutlarıyla değil, aynı zamanda hukuki ve etik etkileriyle de yoğun tartışmalara konu olmaktadır. Bu çerçevede Kurum tarafından yayımlanan “Yapay Zekâ Teknolojilerine Akademik Bakış” isimli kitap, alanında uzman akademisyenlerin katkılarıyla hazırlanmış olup yapay zekânın veri koruma hukuku bağlamındaki etkilerini çok boyutlu olarak ele almaktadır.
Beş bölüm ve on beş makaleden oluşan bu çalışma; yapay zekâ uygulamalarında kişisel verilerin korunması, profilleme, veri sorumluluğu, etik yaklaşımlar, regülasyon çalışmaları (örneğin AB Yapay Zekâ Tüzüğü), hassas gruplar, sağlık, istihdam, finans ve eğitim gibi çeşitli sektörlerdeki etkiler ile ilgili güncel ve derinlikli analizler sunmaktadır.
Yapay zekâ alanında faaliyet gösteren tüm veri sorumluları, araştırmacılar ve hukukçular için rehber niteliğinde olan bu çalışmanın, kişisel verilerin korunması perspektifinden yapay zekânın geleceğine dair kapsamlı bir değerlendirmeyi ortaya koyduğu kanaatindeyiz.
FAALİYET RAPORU
KVKK 2024 Faaliyet Raporu’ndan Öne Çıkanlar
- VERBİS denetimleri kapsamında, 2024 yılı boyunca VERBİS yükümlülüğüne aykırı hareket eden veri sorumlularına toplam 421.897.000 TL idari para cezası uygulanmıştır.
- 2024 yılında 862 veri sorumlusuna toplamda 552.188.101 TL idari para cezası kesilmiş olup 2023 yılı ile kıyaslandığında idari para cezası tutarında büyük bir artış söz konusu olmuştur.
- Yurt dışına veri aktarımında kullanılmak üzere sunulan 90 taahhütnameden yalnızca 10 tanesi kabul edilmiştir. Ek olarak, 2024 yılında 1.364 adet standart sözleşme Kurum’a bildirilmiştir.
- 2024 yılında Kurum’a yapılan başvuruların %55’i kişisel verilerin hukuka aykırı işlenmesi, %18’i izinsiz SMS/arama şikâyetlerinden oluşmuştur. 2024 yılında da hizmet sektörü, en fazla şikâyet alan sektör konumunda yer almıştır.
- Kurum’a iletilen ilgili kişi başvurularının %62’si usul yönünden reddedilmiş olup bu durum, başvuru süreçlerine yönelik henüz yeterli seviyede bilgiye sahip olunmadığını göstermektedir.
KVKK 2024 Faaliyet Raporu’na ilişkin detaylı değerlendirmelerimizi içeren çalışmamıza LinkedIn sayfamızdan ulaşabilirsiniz.