Kişisel Verilerin Korunması Bülteni - 2025 4. Çeyrek

Türkiye’den Gelişmeler 

Sorularla VERBİS ve VERBİS Kılavuzu Güncellendi

Kişisel Verileri Koruma Kurumu (Kurum) tarafından 07.10.2025 tarihinde veri sorumlularının 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) m. 16 uyarınca Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kayıt ve bildirim yükümlülüğünü yerine getirirken faydalanmaları amacıyla yayımlanan “Sorularla VERBİS” ve “VERBİS Kılavuzu” belgeleri güncellendi.

Kurum duyurusuna buradan, güncel VERBİS Kılavuzu’na buradan ve Sorularla VERBİS belgesine buradan ulaşabilirsiniz.

Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma ile Yurt Dışına Kişisel Veri Aktarımına İlk Kez İzin Verildi

Kurum, İçişleri Bakanlığı Göç İdaresi Başkanlığı tarafından Birleşmiş Milletler Mülteciler Yüksek Komiserliği’ne yapılacak kişisel veri aktarımına, taraflar arasında imzalanan ve uluslararası sözleşme niteliği taşımayan anlaşma kapsamında izin verildiğini açıkladı.

Kurum tarafından yayımlanan duyuruya buradan ulaşabilirsiniz.

Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi Yayımlandı

Kurum tarafından 24.11.2025 tarihinde “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)” (Rehber) yayımlandı. Rehber’de, üretken yapay zekâ sistemlerinin geliştirilmesi ve farklı sektörlerde kullanımı sırasında ortaya çıkan kişisel veri işleme faaliyetleri, yaşam döngüsü yaklaşımı esas alınarak KVKK çerçevesinde değerlendirilmekte; bu sistemlerin içerik üretim süreçleri, kullanım alanları, hukuki riskleri ve veri sorumlusu ile veri işleyen yükümlülükleri ele alınmaktadır. Ayrıca, üretken yapay zekâ uygulamalarının kullanımında bireyler ve çocuklar bakımından kişisel verilerin korunmasına ilişkin dikkat edilmesi gereken hususlara da yer verilmektedir.

Kurum tarafından yayımlanan duyuruya buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Oteller Tarafından T.C. Kimlik Belgesi Fotokopisinin Kaydedilmesine İlişkin İlke Kararı Yayımlandı

Kişisel Verileri Koruma Kurulu’nun (Kurul) 06.11.2025 tarihli ve 2025/2120 sayılı İlke Kararı (İlke Kararı), oteller gibi konaklama hizmeti sunan işletmelerin mevcut uygulamalarında değişikliğe gidilmesini gerektirmektedir. Buna göre, söz konusu işletmelerin isim, soy isim ve kimlik numarasını kaydetmesinin, 1774 sayılı Kimlik Bildirme Kanunu ve ilgili mevzuat kapsamında hukuka uygun olduğu; buna karşılık, kimlik belgesinin fotokopisinin saklanması nedeniyle gereğinden fazla kişisel veri işlendiği, din ve kan grubu içeren eski kimlikler nedeniyle amacı aşan nitelikte özel nitelikli kişisel veri elde edildiği ve bu uygulamanın hukuki dayanağının bulunmadığı belirtilmiştir. Bu kapsamda, söz konusu uygulamaya son verilmesi ve daha önce alınarak saklanmış kimlik belgesi fotokopilerinin imha edilmesi gerektiğine karar verilmiştir.

Kurum tarafından yayımlanan duyuruya buradan ve bu konudaki müvekkil duyurumuza buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Otel ve pansiyonlar gibi konaklama hizmeti sunan veri sorumluları tarafından, kimlik belgesinin fotokopisini almaya ve saklamaya son vermeli; kimlik tespiti sırasında yalnızca ad, soyad ve T.C. kimlik numarasını kaydetmelidir. Daha önce bu şekilde alınmış kimlik fotokopileri tespit edilerek imha edilmeli, aydınlatma metinleri, politika ve prosedürler İlke Kararı doğrultusunda revize edilmelidir.

Ödeme Hizmetleri Çerçeve Sözleşmelerinde Biyometrik Kimlik Doğrulama Yasal Zemine Kavuşturuldu

25.12.2025 tarihli ve 33118 sayılı Resmî Gazete’de yayımlanan 7571 sayılı Kanun ile, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’u değiştirildi. Bu değişiklik kapsamında, ödeme hizmetleri çerçeve sözleşmelerinin kurulması sırasında parmak izi ve yüz tanıma gibi biyometrik kimlik doğrulama yöntemleri ile elektronik kimlik doğrulama araçlarının kullanılmasına açık yasal dayanak getirildi.

7571 sayılı Kanun’a buradan ve bu konudaki duyurumuza buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Veri sorumlusu bankalar ve söz konusu mevzuat kapsamında kalan tüm aktörler, ilgili kişilere ilişkin hazırlanan aydınlatma metinleri, politika ve prosedürleri gözden geçirerek güncel mevzuatla uyumlu hale getirmelidir. 

Cumhurbaşkanlığı 2026 Yıllık Programı’nda KVKK’nın Avrupa Birliği Genel Veri Koruma Tüzüğü ile Uyumlaştırılmasına İlişkin Hedefe Yer Verildi

30.10.2025 tarihli ve 33062 (mükerrer) sayılı Resmî Gazete’de yayımlanan 2026 Yılı Cumhurbaşkanlığı Yıllık Programı’nda, KVKK’nın, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyumlaştırılmasına yönelik yürütülen çalışmaların 2026 yılı içerisinde tamamlanmasının hedeflendiği belirtildi.

2026 Yılı Cumhurbaşkanlığı Yıllık Programı’na buradan ulaşabilirsiniz.

Yapay Zekâ Alanında Kurumsal Yapılanma Güçlendirildi

25.12.2025 tarihli ve 33118 sayılı Resmî Gazete’de yayımlanan Cumhurbaşkanlığı kararnameleri ile kamu yönetiminde yapay zekâ alanındaki kurumsal yapılanma güçlendirildi. Bu kapsamda, 191 sayılı Cumhurbaşkanlığı Kararnamesi ile Sanayi ve Teknoloji Bakanlığı bünyesinde faaliyet gösteren Milli Teknoloji Genel Müdürlüğü’nün adı Milli Teknoloji ve Yapay Zekâ Genel Müdürlüğü olarak değiştirildi ve Genel Müdürlüğün görev alanı, yapay zekâ teknolojilerine ilişkin politika ve stratejilerin oluşturulması ile mevzuat ve altyapı çalışmalarını kapsayacak şekilde genişletildi.

192 sayılı Cumhurbaşkanlığı Kararnamesi ile ise Siber Güvenlik Başkanlığı’nın görev alanı, dijital devlet alanı ve kamuda yapay zekâ uygulamalarını da içerecek biçimde genişletilirken; bu çerçevede Kamu Yapay Zekâ Genel Müdürlüğü, Dijital Devlet Genel Müdürlüğü, Yönetim Hizmetleri Genel Müdürlüğü ve Strateji Geliştirme Dairesi Başkanlığı kuruldu.

191 sayılı Kararname’nin tam metnine buradan ve 192 sayılı Kararname’nin tam metnine buradan ulaşabilirsiniz.

Kişisel Sağlık Verileri Hakkında Yönetmelik’te Değişiklik Yapıldı

03.12.2025 tarihli ve 33096 sayılı Resmî Gazete’de yayımlanan değişiklik ile kişisel sağlık verilerinin işlenmesi ve bu verilere erişim süreçlerine ilişkin önemli düzenlemeler yapıldı. Değişiklik kapsamında; avukatların müvekkillerine ait sağlık verilerine erişimi için vekâletnamede özel yetki aranmasına son verilmiş, sağlık verilerinin işlenmesinde KVKK m. 6/3’e açık atıf yapılarak hekimlerin erişim yetkileri bu hükümle sınırlandırılmıştır.

Ayrıca, e-Nabız sistemi üzerinden sağlık verilerine erişim ve güvenlik ayarları yeniden yapılandırılmış; ölmüş kişilere ait sağlık verilerinin saklama süresi 20 yıldan 30 yıla çıkarılmış; velayet, bakım veren kişiler ve tutukluluk/hükümlülük hâllerinde erişim koşulları netleştirilmiştir.

Değişiklik yönetmeliğine buradan ve detaylı bilgi için müvekkil duyurumuza buradan ulaşabilirsiniz.

Sağlık Hizmetlerinde Tanıtım ve Bilgilendirme Faaliyetlerine İlişkin Yeni Yönetmelik Yayımlandı

12.11.2025 tarihli ve 33075 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren Sağlık Hizmetlerinde Tanıtım ve Bilgilendirme Faaliyetleri Hakkında Yönetmelik (Yönetmelik) ile, sağlık meslek mensupları, özel sağlık tesisleri ve uluslararası sağlık turizmi aracı kuruluşlarınca yürütülen tanıtım ve bilgilendirme faaliyetlerine ilişkin usul ve esaslar düzenlendi. Yönetmelik’te; sağlık hizmetlerinde reklam yasağı, tanıtım ve bilgilendirmede uyulacak temel ilkeler, hasta mahremiyeti ve kişisel verilerin korunmasına yönelik yükümlülüklere yer verilmiştir. Bu kapsamda, hastaya ait görsel içeriklerin kullanılabilmesi için hastanın açık rızasının alınması zorunlu tutulmuş; tanıtım ve bilgilendirme faaliyetlerinin KVKK ve Kişisel Sağlık Verileri Hakkında Yönetmelik hükümlerine uygun şekilde yürütülmesi gerektiği hüküm altına alınmıştır.

Sağlık Hizmetlerinde Tanıtım ve Bilgilendirme Faaliyetleri Hakkında Yönetmelik’e buradan ulaşabilirsiniz.

Dünya’dan Güncel Gelişmeler

Avrupa Komisyonu, Yapay Zekâ Tüzüğü’nün Uygulanmasına Yönelik Yeni Araçları Kullanıma Sundu

Avrupa Komisyonu, Avrupa Birliği (AB) Yapay Zekâ Tüzüğü’nün (Yapay Zekâ Tüzüğü) uygulanmasını desteklemek amacıyla Yapay Zekâ Tüzüğü Hizmet Masası (AI Act Service Desk), Yapay Zekâ Tüzüğü Bilgi Platformu (Platform) ve ihbar (whistleblower) mekanizmasını hayata geçirdi. Platform, rehber dokümanlar, sıkça sorulan sorular ve uyum kontrol aracı, Yapay Zekâ Tüzüğü’ne ilişkin interaktif inceleme aracı ile Yapay Zekâ Tüzüğü Hizmet Masası’na doğrudan soru iletilebilmesine imkân tanıyan özel bir başvuru kanalı gibi çeşitli dijital araçlara merkezi bir erişim noktası sunmaktadır. Ayrıca, oluşturulan ihbar mekanizması; Yapay Zekâ Tüzüğü kapsamındaki olası ihlallerin doğrudan AB Yapay Zekâ Ofisi’ne güvenli ve gizli bir şekilde bildirilmesine olanak tanımakta, bildirim sürecinin şifreli bir iletişim altyapısı üzerinden yürütülmesini sağlamakta ve başvuruların tüm AB resmî dillerinde yapılabilmesine imkân vermektedir.

Avrupa Komisyonu’nun AI Act Hizmet Masası ve AI Act Tek Bilgi Platformu’na ilişkin duyurusuna buradan; AI Act kapsamındaki ihbar aracına ilişkin duyurusuna ise buradan ulaşabilirsiniz.

Avrupa Veri Koruma Denetçisi, Yapay Zekâ Sistemlerinde Risk Yönetimine İlişkin Rehber Yayımladı

Avrupa Veri Koruma Denetçisi (EDPS), 11.11.2025 tarihinde, 2018/1725 numaralı (AB) Tüzük (EUDPR) kapsamına giren AB kurumları, organları ve ajansları için geçerli olmak üzere “Yapay Zekâ Sistemleri İçin Risk Yönetimi Rehberi”ni yayımladı. Rehber; özellikle adillik, doğruluk, veri minimizasyonu, veri güvenliği ve ilgili kişi hakları bakımından, yapay zekâ sistemleriyle bağlantılı kişisel veri koruma risklerinin tespit edilmesi ve minimize edilmesine yönelik risk temelli bir çerçeve ortaya koymaktadır. Rehberde ayrıca, hesap verebilirlik ilkesinin, yönetişim yapılarının ve yapay zekâ sistemlerinin tüm yaşam döngüsü boyunca risk yönetiminin önemine dikkat çekilmekte; yapay zekâ kullanımının bireylerin hak ve özgürlükleri açısından yüksek risk doğurabileceği hâllerde Veri Koruma Etki Değerlendirmesi (DPIA) yapılması gerektiği vurgulanmaktadır.

Rehber’e buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Yapay zekâ sistemlerini geliştiren, tedarik eden veya kullanan kuruluşların; yapay zekâ sistemlerinin yaşam döngüsü boyunca kişisel veri koruma risklerini tespit etmeleri ve belgelendirmeli, bireylerin hak ve özgürlükleri açısından yüksek risk söz konusu olduğunda DPIA gerçekleştirmeleri ve yapay zekâ sistemlerine ilişkin açık yönetişim ve hesap verebilirlik mekanizmalarını tesis etmeleri gerekmektedir.

Avrupa Komisyonu, Dijital Omnibus Düzenleme Tekliflerini Yayımladı

Avrupa Komisyonu, 19.11.2025 tarihinde AB dijital mevzuatının daha sade ve uygulanabilir hale getirilmesi amacıyla Dijital Omnibus düzenleme paketini kamuoyuyla paylaştı. Söz konusu paket; GDPR, Yapay Zekâ Tüzüğü, Veri Tüzüğü (Data Act) ve diğer ilgili dijital düzenlemelerde sınırlı ancak etkisi yüksek değişiklikler öngörmektedir.  

Teklifler kapsamında, yapay zekâ sistemlerinin eğitimi sırasında kişisel verilerin işlenmesine ilişkin belirsizliklerin giderilmesi, veri ihlali bildirim süreçlerinin tek bir bildirim noktası üzerinden yürütülmesi, çerezler ve terminal ekipmanlarına ilişkin rıza kurallarının güncellenmesi ile DPIA yükümlülüklerinin AB genelinde uyumlaştırılması hedeflenmektedir. Ayrıca, Yapay Zekâ Tüzüğü kapsamında da özellikle uyum sürelerinin yeniden yapılandırılması ve KOBİ’ler ile küçük orta ölçekli sermaye şirketleri açısından idari yüklerin azaltılmasına yönelik sadeleştirici düzenlemeler öngörülmektedir

Dijital Omnibus düzenleme teklifine buradan, Yapay Zekâ Tüzüğü Değişiklik Teklifi’ne buradan ulaşabilirsiniz.

Avrupa Bankacılık Otoritesi, Yapay Zekâ Tüzüğü’nün Bankacılık ve Ödeme Sektörüne Etkilerine İlişkin Bir Bilgilendirme Notu Yayımladı

Avrupa Bankacılık Otoritesi (EBA), 21.11.2025 tarihinde yayımlanan “Yapay Zekâ Tüzüğü’nün AB Bankacılık ve Ödeme Sektörü Bakımından Sonuçları” başlıklı bilgilendirme notunda, Yapay Zekâ Tüzüğü’nün bankacılık ve ödeme sektöründe yaratabileceği olası etkileri ele aldı. Bilgilendirme notunda, gerçek kişilere yönelik kredibilite ve kredi skorlama süreçlerinde kullanılan yapay zekâ sistemlerinin, Yapay Zekâ Tüzüğü kapsamında yüksek riskli yapay zekâ sistemleri olarak nitelendirildiği açıkça belirtilmektedir. Ayrıca, Yapay Zekâ Tüzüğü’nün mevcut AB bankacılık ve ödeme hizmetleri mevzuatını tamamlayıcı nitelikte olduğu; bu aşamada EBA tarafından yayımlanmış mevcut rehber ve kılavuzlarda derhal bir değişiklik yapılmasını gerektiren bir durum bulunmadığı ifade edilmektedir. 

Bilgilendirme Notuna buradan ulaşabilirsiniz.

Birleşik Krallık Parlamentosu, Siber Güvenlik ve Dayanıklılığa İlişkin Kapsamlı Bir Kanun Teklifini Gündemine Aldı

Birleşik Krallık Parlementosu’na, Siber Güvenlik ve Dayanıklılık (Ağ ve Bilgi Sistemleri) Kanun Teklifi, 12.11.2025 tarihinde sunuldu. Teklif ile Ağ ve Bilgi Sistemleri Düzenlemeleri 2018 (NIS Regulations) kapsamında önemli değişiklikler öngörülmekte; düzenleme kapsamının ilave sektörler ve hizmet sağlayıcıları içerecek şekilde genişletilmesi, olay bildirim yükümlülüklerinin daha sıkı ve süreye bağlı hale getirilmesi ile denetim ve yaptırım rejiminin güçlendirilmesi amaçlanmaktadır. Söz konusu kanun teklifinin, ikincil mevzuatla desteklenecek kademeli bir uygulama süreciyle birlikte 2026 yılı içerisinde yürürlüğe girmesi beklenmektedir.

Siber Güvenlik ve Dayanıklılık Kanun Teklifi’ne buradan ulaşabilirsiniz.

Belçika Veri Koruma Otoritesi, Kişisel Verilerin Hukuka Aykırı Aktarımı Nedeniyle Infobel’e İdari Para Cezası Uyguladı

Belçika Veri Koruma Otoritesi, 27.11.2025 tarihinde veri brokeri Infobel hakkında, kişisel verilerin doğrudan pazarlama amacıyla geçerli bir açık rıza olmaksızın üçüncü kişilere aktarılması nedeniyle 40.000 Avro tutarında idari para cezası uygulanmasına karar verdi. Karara konu incelemede, bir telekomünikasyon işletmecisinden temin edilen kişisel verilerin, doğrudan pazarlama amacıyla ve geçerli bir hukuki dayanak olmaksızın ticari kullanıma konu edildiği tespit edilmiştir. Otorite, ilgili kişilerin söz konusu veri kullanımına ilişkin olarak yeterince bilgilendirilmediğini ve bu amaçla açık, spesifik ve tereddüde yer vermeyecek nitelikte bir rıza alınmadığını değerlendirerek, veri işleme faaliyetlerinin GDPR’a aykırı olduğuna hükmetmiştir. Bu kapsamda, hukuki dayanağı bulunmayan kişisel verilerin silinmesine karar verilmiş; ayrıca Infobel’in, kurumsal müşterilerini hem alınan karardan hem de dayanak gösterilen rızanın geçerli olmadığı hususundan haberdar etmesi yükümlülüğü getirilmiştir.

Karar’a buradan ulaşabilirsiniz.

Avrupa Komisyonu, Yapay Zekâ Tarafından Üretilen İçeriklerin Şeffaflığına İlişkin İlk Taslak Uygulama Kodu’nu Yayımladı

Avrupa Komisyon, 17.12.2025 tarihinde, Yapay Zekâ Tüzüğü kapsamında yapay zekâ tarafından üretilen içeriklerin şeffaflığına ilişkin ilk Taslak Uygulama Kodu’nu kamuoyuyla paylaştı. Taslak metin, Yapay Zekâ Tüzüğü’nde öngörülen şeffaflık yükümlülüklerine uyumu desteklemeyi amaçlamakta; yapay zekâ tarafından üretilen ya da değiştirilen içeriklerin etiketlenmesi ve tespit edilebilirliği ile deepfake içeriklere özgü şeffaflık kuralları da dahil olmak üzere çeşitli düzenlemeler içermektedir. Taslağın, uzmanlar ve paydaşlarla yürütülecek ilave istişarelerin ardından Mart 2026’da ikinci bir versiyonunun yayınlanması; nihai metnin ise üretken yapay zekâ sistemlerini geliştiren ve kullananlar açısından gönüllü bir uyum aracı olarak işlev görmesi beklenmektedir.

Taslak Uygulama Kurallarına buradan ulaşabilirsiniz.

Avustralya Veri Koruma Otoritesi, İşyerinde Üretken Yapay Zekâ Kullanımına İlişkin Bir Rehber Yayımladı

Avustralya Bilgi Komiserliği Ofisi (OAIC), 04.12.2025 tarihinde, 04.12.2025 tarihinde, ChatGPT ve benzeri üretken yapay zekâ (GPAI) araçlarının işyerinde kullanımına ilişkin bir rehber yayımladı. Rehberde, Gizlilik Yasası (Privacy Act) kapsamındaki kuruluşların, kamuya açık GPAI araçlarına kişisel ve hassas verilerin girilmesinden kaçınmaları gerektiği vurgulanmaktadır. Zira bu tür veriler paylaşıldıktan sonra, üzerlerinde kontrol sağlanması veya silinmesi zor ya da bazı durumlarda fiilen mümkün olmayabilecektir. OAIC, üretken yapay zekâ araçlarının hatalı veya uygun olmayan kullanımının; yetkisiz veri paylaşımına, yanıltıcı çıktılara, hatalı karar alma süreçlerine ve düzenleyici risklere yol açabileceğine dikkat çekmektedir. Bu kapsamda rehber; iş süreçlerinde GPAI araçlarının kullanıldığı durumlarda etkin bir gizlilik yönetişimi kurulmasını, DPIA yapılmasını, açık iç politika ve prosedürlerin oluşturulmasını, çalışanların eğitilmesini ve uygun teknik tedbirlerin uygulanmasını önermektedir.

Rehber’e buradan ulaşabilirsiniz.

Neler Yapılabilir?

• İşyerinde GPAI araçlarını kullanan kuruluşların; mümkün olan hâllerde kamuya açık yapay zekâ araçlarına kişisel ve hassas veri girişini yasaklamaları, yapay zekâ destekli süreçler bakımından DPIA gerekip gerekmediğini değerlendirmeleri ve yetkisiz veri paylaşımı, hatalı çıktı ve düzenleyici riskleri yönetmek amacıyla iç politikalar, personel eğitimleri ve teknik kontrolleri hayata geçirmeleri önerilmektedir.

Avustralya, 16 Yaş Altındaki Çocukların Sosyal Medya Kullanımını Yasakladı

Avustralya, yaş kısıtlamasına tabi sosyal medya platformlarına erişim için asgari yaş sınırını 16 olarak belirleyen bir düzenlemeyi kabul etti. Bu adımla Avustralya, sosyal medya kullanımına ilişkin ülke genelinde bağlayıcı bir çerçeve benimseyen ilk ülke oldu. Yeni kurallar kapsamında, sosyal medya platformlarının 16 yaşın altındaki kullanıcıların hesap sahibi olmasını engellemek için makul önlemler alması gerekmektedir. Düzenleme, çocuklar, ebeveynler veya bakım verenler açısından herhangi bir yaptırım öngörmezken; yükümlülüklerini yerine getirmeyen platformlar 49,5 milyon Avustralya Doları’na kadar idari para cezası ile karşılaşabilecektir. Düzenleme, belirli bir yaş doğrulama teknolojisinin zorunlu tutulması yerine, eSafety Commissioner rehberliğinde uygulanacak esnek yaş güvence tedbirlerine dayanmaktadır.

İlgili duyuruya buradan ulaşabilirsiniz.

Avrupa Komisyonu, Dijital Hizmetler Tüzüğü Kapsamında İlk Para Cezasını X’e Uyguladı

Avrupa Komisyonu, 5 Aralık 2025 tarihinde Dijital Hizmetler Tüzüğü (DSA) kapsamında verdiği ilk kararla, X hakkında 120 milyon Avro tutarında idari para cezası uygulanmasına karar verdi. Komisyon, X’in ücret karşılığında sunulan “mavi tik” hesaplarını, herhangi bir gerçek kimlik doğrulama süreci işletmeksizin doğrulanmış hesaplar gibi göstermesinin, DSA kapsamındaki şeffaflık yükümlülükleriyle bağdaşmadığını ve kullanıcılar bakımından hesapların ve içeriklerin güvenilirliği konusunda yanıltıcı bir algı yarattığını tespit etti.

Karar’da ayrıca, X’in reklam arşivine ilişkin eksiklikler de ele alınmış; arşive erişimin sınırlı tutulması ile reklam içerikleri ve reklam bedelini ödeyen taraflara dair bilgilerin yer almamasının, kamuoyu ve sivil toplumun platform üzerindeki denetimini önemli ölçüde zorlaştırdığı belirtilmiştir. Bunun yanında, araştırmacıların platformda herkese açık olarak paylaşılan verilere erişimine getirilen sınırlamaların haklı ve orantılı bir gerekçeye dayanmadığı sonucuna varılmıştır.

Basın duyurusuna buradan ulaşabilirsiniz.

İtalyan Veri Koruma Otoritesi, Disiplin Sürecinde CCTV Kayıtlarının Hukuka Aykırı Kullanımı Nedeniyle Curtarolo Belediyesi’ne İdari Para Cezası Verdi

İtalyan Veri Koruma Otoritesi, 23.10.2025 tarihli kararında, kamu güvenliği amacıyla kullanılan CCTV kayıtlarının bir çalışan hakkında yürütülen disiplin incelemesinde hukuka aykırı şekilde kullanılması nedeniyle Curtarolo Belediyesi hakkında 15.000 Avro tutarında idari para cezası uygulanmasına karar verdi. 

Otorite, güvenlik amacıyla elde edilen görüntü kayıtlarının, bir çalışanın davranışlarını izlemek ve değerlendirmek amacıyla kullanıldığını; bu durumun amaçla sınırlı olma, hukuka uygunluk ve şeffaflık ilkelerine aykırılık teşkil ettiğini değerlendirdi. Kararda ayrıca, çalışanlara yönelik aydınlatmanın yeterli şekilde yapılmadığı, geniş kapsamlı kamusal alan gözetimi bakımından DPIA gerçekleştirilmediği ve GDPR m. 88 ile yerel iş hukuku mevzuatında çalışanların izlenmesine ilişkin öngörülen güvencelere uyulmadığı tespitlerine yer verilmiştir

Kararın İtalyanca tam metnine buradan ulaşabilirsiniz.

Neler Yapılabilir?

• İşverenlerin, güvenlik amacıyla kullanılan kamera sistemlerinden elde edilen görüntüleri çalışanların takibi veya disiplin süreçleri için kullanmaktan kaçınmaları gerekmektedir. Kamera gözetiminin söz konusu olduğu hâllerde, DPIA ihtiyacının değerlendirilmesi, çalışanların açık şekilde bilgilendirilmesi ve iş hukuku ile veri koruma mevzuatında öngörülen sınırlara uyulması önem taşımaktadır. 

E-posta Bültenleri, ePrivacy Direktifi Kapsamında Doğrudan Pazarlama Sayılabilir

Avrupa Birliği Adalet Divanı (ABAD), 13.11.2025 tarihli Inteligo Media kararında (C-654/23), günlük olarak gönderilen bir e-posta bülteninin içeriği bilgilendirici nitelikte olsa dahi, ücretli içeriklere veya aboneliklere yönlendirme amacı taşıması halinde ePrivacy Direktifi’nin 13. maddesi anlamında doğrudan pazarlama faaliyeti olarak değerlendirilmesi gerektiğine hükmetti. 

Mahkeme, ücretsiz bir hizmete kayıt sırasında toplanan e-posta adreslerinin, söz konusu hizmet kapsamında kullanıcıların ücretli içeriklere yönlendirilmesi amacına hizmet etmesi durumunda, “hizmet sunumu sırasında elde edilmiş” sayılabileceğini belirtmiştir. Bu çerçevede, kullanıcıların başlangıçta açık ve anlaşılır şekilde bilgilendirilmesi ve her iletide kolay ve ücretsiz bir çıkış (opt-out) imkânı sunulması kaydıyla, veri sorumlularının ePrivacy Direktifi’nde öngörülen soft opt-in istisnasından yararlanabileceği kabul edilmiştir. Mahkeme ayrıca, bu şartların sağlanması hâlinde GDPR kapsamında ayrıca bir hukuki dayanak aranmasına gerek bulunmadığını da özellikle vurgulamıştır.

Karar’a buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Bülten, duyuru veya tanıtım amaçlı e-postalar gönderen kuruluşların; bu iletilerin pazarlama niteliği taşıyıp taşımadığını ve e-posta adreslerinin hangi aşamada, hangi amaçla toplandığını dikkatle değerlendirmesi gerekmektedir. AB mevzuatının uygulanabilir olduğu hâllerde, ePrivacy Direktifi kapsamındaki soft opt-in şartlarının sağlanıp sağlanmadığı ayrıca değerlendirilmelidir.

ABAD, Çevrim İçi Pazaryerlerinin GDPR Kapsamında (Ortak) Veri Sorumlusu Sayılabileceğine Hükmetti

ABAD, X v Russmedia kararında (C-492/23), çevrim içi pazaryeri işleten platformların, kullanıcılar tarafından oluşturulan içeriklerin sunuluşunu ve kendi ticari hedefleri doğrultusunda aktif biçimde yönlendirmeleri halinde, GDPR kapsamında (ortak) veri sorumlusu olarak değerlendirilebileceğine karar verdi.

Mahkeme ayrıca, reklamların GDPR m. 9 anlamında özel nitelikli kişisel veri içermesi durumunda, platformların yalnızca “bildir-kaldır” (notice-and-takedown) mekanizmasına dayanmasının yeterli olmayacağını açıkça belirtmiştir. Bu kapsamda, söz konusu reklamların yayınlanmadan önce tespit edilmesine yönelik önleyici kontrollerin yapılması ve reklamı veren kişinin verinin ilgili kişisi olup olmadığının doğrulanması gerekmektedir. Reklamı veren kişi ilgili kişi olmadığı hallerde ise, açık rızanın varlığı veya GDPR m. 9/2’de öngörülen veri işleme şartlarından birinin somut olarak ortaya konulmadıkça reklamın yayınlanması mümkün değildir.

ABAD ayrıca, e-Ticaret Direktifi’nde öngörülen barındırma (hosting) sorumluluğu istisnasının, platformun salt teknik ve pasif bir rol üstlenmediği durumlarda, GDPR kapsamında doğabilecek sorumluluğu bertaraf etmeyeceğini açıkça ortaya koymuştur.

Karar’a buradan ulaşabilirsiniz.

Neler Yapılabilir?

• Çevrim içi pazaryeri veya benzeri hizmetler sunan platformların, kullanıcı içeriklerinin yayımlanmasındaki rollerini dikkate alarak veri sorumlusu/ortak veri sorumlusu sıfatının doğup doğmadığını değerlendirmeleri gerekmektedir. Özellikle reklamlarda özel nitelikli kişisel verilerin işlenmesi ihtimalinin bulunduğu hâllerde, içerik yönetimi ve denetim süreçlerinin veri koruma ilkeleriyle uyumlu şekilde yapılandırılması; yalnızca “şikâyet üzerine kaldırma” yaklaşımına veya barındırma hizmetlerine ilişkin sorumsuzluk argümanlarına dayanılmaması önem arz etmektedir.