Kişisel Verileri Koruma Hukuku Güncel Gelişmeler Mayıs 2024
Yayınlanma Tarihi: 31/05/2024

TÜRKİYE’DEKİ GELİŞMELER

İhlal Bildirimleri

v  Abi İnternational Dış Tic. Ltd. Şti.

Veri sorumlusu Abi İnternational Dış Tic. Ltd. Şti., bir siber saldırı sonucunda bünyesindeki bazı verilerin ( “Kişisel Veri” veya “Veri”) şifrelenerek fidye talebinde bulunulması suretiyle gerçekleşen veri ihlalini (“Veri İhlali” veya “İhlal”) Kişisel Verileri Koruma Kurulu’na (“Kurul”) bildirmiştir. Yapılan bildirimde;

  • İhlalin 13.04.2024 tarihinde başladığı,
  • İhlalin 22.04.2024 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
  • İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu,
  • İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
  • İlgili kişilerin, belirtilen KEP adresi aracılığıyla veri ihlali hakkında bilgi alabileceği belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7891/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Abi-International-Dis-Ticaret-Limited-Sirketi

v  Akıl Plastik San. ve Tic. Ltd. Şti.

Veri sorumlusu Akıl Plastik San. ve Tic. Ltd. Şti., bir siber saldırı sonucunda bünyesindeki bazı verilerin şifrelenerek fidye talebinde bulunulması suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin 13.04.2024 tarihinde başladığı,
  • İhlalin 22.04.2024 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
  • İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu,
  • İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
  • İlgili kişilerin, belirtilen KEP adresi aracılığıyla veri ihlali hakkında bilgi alabileceği belirtilmiştir.

 

Bkz. https://www.kvkk.gov.tr/Icerik/7892/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Akil-Plastik-Sanayi-ve-Ticaret-Limited-Sirketi

v  Armoni Pazarlama ve Plastik San. Tic. A.Ş.

Veri sorumlusu Armoni Pazarlama ve Plastik San. Tic. A.Ş., bünyesindeki verilerin bir kısmının şifrelenerek fidye talep edildiği bir siber saldırı suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin 13.04.2024 tarihinde başladığı,
  • İhlalin 22.04.2024 tarihinde tespit edildiği,
  • İhlalden siber saldırgan tarafından gönderilen e-posta ile haberdar olunduğu,
  • İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
  • İhlalden etkilenen ilgili kişi gruplarının aboneler/üyeler, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu,
  • İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
  • İlgili kişilerin belirtilen KEP adresi aracılığıyla ihlal hakkında bilgi alabileceği belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7893/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Armoni-Pazarlama-ve-Plastik-Sanayi-Ticaret-Anonim-Sirketi

v  Hamra Global Dış Tic. ve San. Ltd. Şti.

Veri sorumlusu Hamra Global Dış Tic. ve San. Ltd. Şti., bir siber saldırı sonucunda bünyesindeki bazı verilerin şifrelenerek fidye talebinde bulunulması suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  •  İhlalin 13.04.2024 tarihinde başladığı,
  • İhlalin 22.04.2024 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
  • İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu,
  • İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
  • İlgili kişilerin, belirtilen KEP adresi aracılığıyla veri ihlali hakkında bilgi alabileceği belirtilmiştir

 Bkz. https://www.kvkk.gov.tr/Icerik/7894/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Hamra-Global-Dis-Ticaret-ve-Sanayi-Limited-Sirketi

v  Karcam Plastik ve Cam San. Tic. Ltd. Şti.

Veri sorumlusu Karcam Plastik ve Cam San. Tic. Ltd. Şti., bir siber saldırı sonucunda bünyesindeki bazı verilerin şifrelenerek fidye talebinde bulunulması suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin 13.04.2024 tarihinde başladığı,
  • İhlalin 22.04.2024 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
  • İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu,
  • İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
  • İlgili kişilerin, belirtilen KEP adresi aracılığıyla veri ihlali hakkında bilgi alabileceği belirtilmiştir.

v  Titiz Bebek ve Sağlık Ürünleri A.Ş.

Veri sorumlusu Titiz Bebek ve Sağlık Ürünleri A.Ş., bir siber saldırı sonucunda bünyesindeki bazı verilerin şifrelenerek fidye talebinde bulunulması suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin 13.04.2024 tarihinde başladığı,
  • İhlalin 22.04.2024 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
  • İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu,
  • İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
  • İlgili kişilerin, belirtilen KEP adresi aracılığıyla veri ihlali hakkında bilgi alabileceği belirtilmiştir.

v  Titiz Gayrimenkul Yatırım ve İnş. San. Tic. A.Ş.

Veri sorumlusu Titiz Gayrimenkul Yatırım ve İnş. San. Tic. A.Ş., bir siber saldırı sonucunda bünyesindeki bazı verilerin şifrelenerek fidye talebinde bulunulması suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin 13.04.2024 tarihinde başladığı,
  • İhlalin 22.04.2024 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi ve kayıt sayısının tespit edilemediği,
  • İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekân güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar olduğu,
  • İhlalden etkilenen özel nitelikli kişisel veri kategorilerinin; kılık ve kıyafet, sağlık bilgileri, biyometrik veri, ceza mahkûmiyeti ve güvenlik tedbirleri olduğu,
  • İlgili kişilerin, belirtilen KEP adresi aracılığıyla veri ihlali hakkında bilgi alabileceği belirtilmiştir.

v  Tekrom Teknoloji A.Ş.’den (“T-Soft”) Hizmet Alan Veri Sorumlularının Bildirimi

Birçok veri sorumlusu, T-Soft tarafından sağlanan yönetim paneline yetkisiz üçüncü kişi tarafından T-Soft sisteminde kayıtlı bir kullanıcı adı ve şifresinin elde edilmesiyle diğer kullanıcılara ilişkin verilerin ele geçirilmesi suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimlerde;

-Veri sorumlularının T-Soft’tan e-ticaret altyapı hizmeti aldığı,

-İhlalin, veri sorumluları tarafından farklı tarihlerde tespit edildiği ancak genel olarak 20.04.2024 tarihinden sonra tespit edildiği yönünde yorum yapılabileceği,

-İhlalden etkilenen ilgili kişi gruplarının; çalışanlar, kullanıcılar, aboneler, müşteriler olmak üzere veri sorumluları açısından farklı olduğu ancak ortak olarak etkilenen ilgili kişi grubunun müşteriler olduğu belirtilmiştir.


-İhlalden etkilenen veri sorumluları ve tahmini etkilenen kişi sayısı şöyledir: Agadigital Elektronik Mağazacılık ve Tic. A.Ş. (4.235), Kervan Tekstil San. ve Dış Tic. A.Ş. (3 – Kayıt Sayısı: 13.873), Sezer Plastik Kalıpsan ve Tic. Ltd. Şti. (5.000), Tesbihci Baba Değerli Taşlar Ltd. Şti. (65.536), Ser Dayanıklı Tüketim Malları İç ve Dış Tic. San. A.Ş. (9.300), Tepe Home Mobilya ve Dekorasyon Ürünleri San. Tic. A.Ş. (39.973), Acar Züccaciye Dış Tic. Ltd. Şti. (17.330), Alkan Kardeşler Elektirik Sanayi ve Tic. A.Ş. (800), AYS Ayshan Moda Tekstil San. ve Dış Tic. Ltd. Şti. (50.000 - 100.000 arası), Aytek Giyim San. ve Tic. Ltd. Şti. (1.404), Dayne Sağlık Ürünleri Ltd. Şti. (40.770), Dermo Grup İnt. Mağ. San. ve Tic. A.Ş. (Bilinmiyor), Hacı Şerif Gıda İth. İhr. San. ve Tic. Ltd. Şti. (Bilinmiyor), Hedef Dağıtım Kozmetik Tic. A.Ş., Hobiyün İplik San. Tic. Paz. Ltd. Şti. (Bilinmiyor), Mib Mağazacılık Tic. A.Ş. (77.310), Novastore Hazır Giyim ve Mağazacılık A.Ş. (8.694), Robolink Teknoloji Elektronik Medikal Mühendislik İnş. Dan. Yaz. San. ve Tic. Ltd. Şti. (90.000), Sarar Büyük Mağazacılık Tic.A.Ş. (Bilinmiyor), Setre Konfeksiyon Tekstil Kuyumculuk Sağlık Ürünleri San. ve Tic. A.Ş. (29.997), GIZIA Moda Tekstil San. ve Dış Tic. Ltd. Şti. (Bilinmiyor), Age Mutfak Eşyaları Tic. A.Ş. (298.906), Aslan Ticaret Dayanıklı Tüketim Malları Ltd. Şti. (Bilinmiyor), BYM Fashion Tekstil San. Tic. Ltd. Şti. (11.177), Express Sanal Mağazacılık A.Ş. (Bilinmiyor)

 

Bkz. https://www.kvkk.gov.tr/Icerik/7898/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Tekrom-Teknoloji-A-S-T-Soft-den-Hizmet-Alan-Veri-Sorumlulari-Hk-

v  Pınar Tekstil Tuh. İnş. ve Paz. Tic. Ltd. Şti.

Veri sorumlusu Pınar Tekstil Tuh. İnş. ve Paz. Tic. Ltd. Şti., kullanılan sisteme bir yönetici hesabının kullanıcı bilgilerini ele geçiren siber saldırgan tarafından erişilmesi suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin 23.04.2024-25.04.2024 tarihi arasında gerçekleştiği,
  • İhlalin 24.04.2024 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi sayısının 36.956 olduğu,
  • İhlalden etkilenen ilgili kişi grubunun müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik (ad, soyadı), iletişim (cep telefonu numarası, e-posta adresi) ve müşteri işlem (gerçek ve tüzel kişilerin alışveriş geçmişi) bilgileri olduğu,
  • İlgili kişilerin, veri sorumlusu internet adresi ve belirtilen telefon numarası aracılığıyla veri ihlali hakkında bilgi alabileceği belirtilmiştir.

v  Alexion İlaç Tic. Ltd. Şti.

Veri sorumlusu Alexion İlaç Tic. Ltd. Şti., klinik araştırmalar için hizmet aldığı eClinical Solutions LLC’nin (veri işleyen) sistemlerine siber saldırı düzenlenmesiyle veri işleyenin sFTP sunucusunda tutulan verilerin yetkisiz kişi/kişiler tarafından dışarı sızdırılması suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin 13.02.2024-21.02.2024 tarihi arasında gerçekleştiği,
  • İhlalin 05.05.2024 tarihinde tespit edildiği,
  • İhlalden etkilenen kişi sayısının 150’si klinik araştırma katılımcısı/gönüllüsü olmak üzere toplam 607 kişi olduğu,
  • İhlalden etkilenen ilgili kişi gruplarının; sorumlu araştırmacılar (SMM), araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler ile klinik araştırma katılımcıları/gönüllüleri (denek) olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin klinik araştırmaya katılan katılımcılar/gönüllüler için (tamamı maskelenmiş olmak üzere); katılımcı kimliği (anahtar kodlu tanımlayıcı), çalışma adı, durum, açık rıza tarihi, ekran arıza tarihi, rastgele tarih, kol/kohort/startifikasyon, ilk doz tarihi, güncel doz tarihi, son doz tarihi, en son ziyaret tarihi, yeniden tarama sayısı, önceki katılımcı kimliği, yaş, cinsiyet, ırk, etnik köken, rastgeleleştirilmiş dönem sonu, tedavinin durdurulma nedeni, tedavinin durdurulduğu tarih, çalışmanın durdurulma nedeni, çalışmanın durdurulduğu tarih, tamamlanan çalışma, çalışmanın tamamlanma tarihi, ölüm tarihi, SDVTier, katılımcı kimliği, doğum yılı, laboratuvar sonuçları, aralık içerisinde değeri (with in range), laboratuvar tarihi, kullanılan ilaçlar, tıbbi geçmiş bilgileri olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin sorumlu araştırmacılar (SMM), araştırma merkezi personeli, araştırma çalışması için görevlendirilen kişiler için; saha personeli bilgileri, UserOID, giriş adı, ekran adı, tam ad, kullanıcı rolü, ülke, kurumsal iletişim bilgileri (adres, e-posta, faks, telefon, lisans numarası) olduğu belirtilmiştir.

Bkz. https://www.kvkk.gov.tr/Icerik/7904/Kamuoyu-Duyurusu-Veri-Ihlali-Bildirimi-Alexion-Ilac-Ticaret-Limited-Sirketi

v  Asimetrik Ses Işık ve Görüntü Sistemleri A.Ş.

Veri sorumlusu Asimetrik Ses Işık ve Görüntü Sistemleri A.Ş., T-Soft tarafından sağlanan yönetim paneline yetkisiz üçüncü kişi tarafından T-Soft sisteminde kayıtlı bir kullanıcı adı ve şifresinin elde edilmesiyle diğer kullanıcılara ilişkin verilerin ele geçirilmesi suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin 23.04.2024 tarihinde başladığı,
  • İhlalin aynı gün tespit edildiği,
  • İhlalden etkilenen kişi sayısının 26.968 olduğu,
  • İhlalden etkilenen ilgili kişi gruplarının müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel verilerin; ad, soyad, adres, doğru girilmiş ise TC Kimlik numaraları, telefon numaraları, müşteri girdi ise doğum tarihi, mail adresi, müşterilerin son sipariş bilgilerinin olduğu belirtilmiştir.

v  Lizay Kuyumculuk Tic. A.Ş.

Veri sorumlusu Asimetrik Ses Işık ve Görüntü Sistemleri A.Ş., T-Soft tarafından sağlanan yönetim paneline yetkisiz üçüncü kişi tarafından T-Soft sisteminde kayıtlı bir kullanıcı adı ve şifresinin elde edilmesiyle diğer kullanıcılara ilişkin verilerin ele geçirilmesi suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin 20.04.2024 tarihinde başladığı,
  • İhlalin aynı gün tespit edildiği,
  • İhlalden siber saldırgan tarafından gönderilen e-posta ile haberdar olunduğu,
  • İhlalden etkilenen kişi sayısının 34.602 olduğu,
  • İhlalden etkilenen ilgili kişi gruplarının aboneler/üyeler, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim ve lokasyon olduğu belirtilmiştir.

v  Aker Mağazacılık Tekstil Tic. ve San. A.Ş.

Veri sorumlusu Aker Mağazacılık Tekstil Tic. ve San. A.Ş., T-Soft tarafından sağlanan yönetim paneline yetkisiz üçüncü kişi tarafından T-Soft sisteminde kayıtlı bir kullanıcı adı ve şifresinin elde edilmesiyle diğer kullanıcılara ilişkin verilerin ele geçirilmesi suretiyle gerçekleşen veri ihlalini Kurul’a bildirmiştir. Yapılan bildirimde;

  • İhlalin başlangıç tarihinin bilinmediği,
  • İhlalin 24.04.2024 tarihinde tespit edildiği,
  • İhlalden siber saldırgan tarafından gönderilen mesaj ile haberdar olunduğu,
  • İhlalden etkilenen kişi sayısının 34.602 olduğu,
  • İhlalden etkilenen ilgili kişi gruplarının aboneler/üyeler, müşteriler ve potansiyel müşteriler olduğu,
  • İhlalden etkilenen kişisel veri kategorilerinin; kimlik, iletişim ve lokasyon olduğu belirtilmiştir.

Diğer Gelişmeler

v  Bosch Termoteknik Isıtma ve Klima San. ve Tic. A.Ş.’nin taahhütname başvurusu kabul edilmiştir.

Bosch Termoteknik Isıtma ve Klima San. ve Tic. A.Ş. tarafından 15.02.2024 tarihinde Kişisel Verileri Koruma Kurumu’na (“Kurum”) sunulan yurtdışına kişisel veri aktarımı yapılması yönündeki taahhütname başvurusu, Kurul tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) 9/2-b maddesi kapsamında değerlendirilmiş, başvuruda usul ve esasa dair herhangi bir eksikliğin bulunmadığı tespit edilmiştir. Bu doğrultuda; Kurul tarafından söz konusu veri aktarımına izin verildiği 02.05.2024 tarihinde Kurum’un internet sitesinde duyurulmuştur.

v  Huawei Telekomünikasyon Dış Tic. Ltd. Şti. taahhütname başvurusu kabul edilmiştir.

Huawei Telekomünikasyon Dış Tic. Ltd. Şti. tarafından Kurum’a sunulan yurtdışına kişisel veri aktarımı yapılması yönündeki taahhütname başvurusu, Kurul tarafından 6698 sayılı KVKK’nın 9/2-b maddesi kapsamında değerlendirilerek başvuruda usul ve esasa dair herhangi bir eksikliğin bulunmadığı tespit edilmiştir. Bu doğrultuda; Kurul tarafından söz konusu veri aktarımına izin verildiği 28.05.2024 tarihinde Kurum’un internet sitesinde duyurulmuştur.

v  Yükseköğretim Kurulu (“YÖK”) tarafından Yükseköğretim Kurumları Bilimsel Araştırma ve Yayın Faaliyetlerinde Üretken Yapay Zekâ Kullanımına Dair Etik Rehber yayımlanmıştır.

YÖK tarafından 07.05.2024 tarihinde internet sitesinde yayımlanan rehberde üretken yapay zeka kullanımında etik değerler incelenmiştir. Söz konusu değerler; şeffaflık, dürüstlük, özen, adalet ve saygı, gizlilik ve mahremiyetin korunması, hesap verebilirlik ve sorumluluk üstlenme, etik iklime katkıda bulunmak olarak ifade edilmiştir.

Ayrıca üretken yapay zekanın aşağıdaki etik sorunlara yol açabileceği ifade edilmiştir:

  • İçerik üretiminde üretken yapay zekâ kullanıldığını eserde bildirme,
  • Başkası tarafından üretilmiş olan içeriğin izinsiz kullanımı,
  • Literatürde var olan bilginin atıf yapılmadan, uygunsuz şekilde alıntılanması,
  • Üretken yapay zekânın yanlış veya yanıltıcı veri üretimi ve araştırmacının üretilen bu veriyi kullanması,
  • Tekrar edilemeyen, açıklanamayan araştırma yöntemi ile üretilmiş veri ve sonuçların akademik literatüre girmesi,
  • Taraflı ve kısıtlı veri nedeniyle hassas grupların uğrayabileceği ayrımcılığın derinleşmesi,
  • Mevzuata aykırı olarak kişisel verilerin toplanması, depolanması, transferi, kullanılması ve tekrar kullanılması.

Söz konusu raporun son bölümünde tavsiyeler sıralanarak sık sorulan sorulara cevap verilmiştir. Özetle; üretken yapay zekanın bilimsel amaçlarla kullanılabileceği ancak söz konusu etik risklerin göz ardı edilmemesi gerektiği ifade edilmiştir.

  • Veri etiği bakımından ise aşağıdaki hususlara dikkat edilmesi gerektiği vurgulanmıştır:
  • Veri kaynağı ve verinin kullanım izni,
  • Veri gizliliği ve mahremiyet,
  • Veri taraflılığı,
  • Üretken yapay zekâ halüsinasyonları,
  • Veri güncelliği,
  • Veri güvenilirliği,
  • Fikri mülkiyet hakları

v  Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelik Taslağı yayımlanmıştır.

Kurum’un resmi internet sitesinde, “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı Hakkında Kamuoyu Duyurusu” 09.05.2024 tarihinde paylaşılmıştır.

Bu kapsamda Kurum tarafından; Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı (“Yönetmelik Taslağı”), Yönetmelik Taslağı Gerekçesi ve Kamuoyu Görüş Formu yayımlanmıştır.

Yönetmelik Taslağı’na yönelik görüşlerin, Kamuoyu Görüş Formu aracılığıyla 20.05.2024 tarihine kadar hukuk@kvkk.gov.tr e-posta adresine gönderilmesi gerektiği ifade edilmiştir.

Yönetmelik Taslağı’nda dikkat çeken hususlar aşağıdaki gibidir:

  • Veri aktaran”, “Veri alıcısı” ve “Kanun” tanımları yapılmıştır.
  • Madde 10 kapsamında; uygun güvenceler için yurt dışına veri aktarım mekanizmaları sayılmıştır.
  • Madde 11 kapsamında; yurt dışına kişisel veri aktarım mekanizmalarından olan uluslararası sözleşme niteliğinde olmayan anlaşmayla uygun güvencenin sağlanmasına ilişkin detaylar açıklanmıştır.
  • Madde 12 ve 13 kapsamında; Bağlayıcı Şirket Kuralları (“BŞK”) için “ortak ekonomik faaliyette bulunan teşebbüs grubu” ifadesi tercih edilmiştir. Ayrıca; BŞK içerisinde sunulacak yabancı dildeki her belgenin noter onaylı çevirisinin eklenmesi talep edilmiştir. Hem yabancı dil hem Türkçe olarak hazırlanacak BŞK’de ise Türkçe olanın esas alınacağı belirtilmiştir.
  • Madde 14 kapsamında; standart sözleşmenin fiziki, KEP adresi veya Kurul tarafından belirlenecek yöntemlerle Kurum’a gönderilmesi öngörülmüştür. Ayrıca, standart sözleşmeyi Kurum’a bildirecek tarafın sözleşme serbestisi çerçevesinde belirlenebileceği, ancak herhangi bir belirlenme hali yoksa veri aktaran tarafından gönderilmesi gerektiği belirtilmiştir.
  • Madde 17 kapsamında; kişisel verilerin veri işleyen tarafından yurt dışına aktarılması halinde uyulması gereken yükümlülükler belirtilmiştir. Bu yükümlülükler veri sorumlusu tarafından belirlenmiş amaç ve kapsam çerçevesinde;

-veri sorumlusu adına ve talimatlarına uygun olarak hareket etmek,

-Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,

-Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

-Kişisel verilerin muhafazasını sağlamak amacıyla kişisel verinin niteliğine uygun güvenlik düzeyini temin amacıyla gerekli her türlü teknik ve idari tedbirleri almak.


  • Aktarım veri işleyen tarafından gerçekleşse dahi veri sorumlusunun, Yönetmelik usul ve esaslarına uymak ile uygun güvencelerin sağlanması hususundaki sorumluluğunun devam edeceği belirtilmiştir.
  • Madde 16 kapsamında; arızi haller için çeşitli sınırlamalar öngörülmüştür.
  • “Tereddütlerin Giderilmesi” başlıklı madde 17 kapsamında; Yönetmelik’te yer almayan veya tereddüt oluşacak konular hakkında Kurul’un karar vermeye yetkili olduğu belirtilmiştir.
  • Yönetmeliğin, yayım tarihi itibarıyla yürürlüğe gireceği öngörülmüştür.

Kurum Duyurusu’na buradan, Yönetmelik Taslağı’na buradan, Gerekçesi’ne buradan, Görüş Formu’na buradan ulaşabilirsiniz. 


v  Standart Sözleşme ve Bağlayıcı Şirket Kuralları’na ilişkin taslak dokümanlar yayımlanmıştır.



Kurum’un resmi internet sitesinde “Standart Sözleşme ve Bağlayıcı Şirket Kurallarına İlişkin Taslak Dokümanlar Hakkında Kamuoyu Duyurusu” 17.05.2024 tarihinde paylaşılmıştır.

Bu kapsamda; Standart Sözleşme (“SS”) ve Bağlayıcı Şirket Kuralları’na (“BŞK”) ilişkin taslak dokümanlar kamuoyunun görüşüne açılmıştır.

SS ve BŞK Dokümanlarına yönelik görüşlerin Kamuoyu Görüş Formu aracılığıyla 20.05.2024 tarihine kadar aktarim@kvkk.gov.tr e-posta adresine gönderilebileceği belirtilmiştir.

Yönetmelik Taslağı’nda dikkat çeken hususlar aşağıdaki gibidir:

-Standart sözleşme taslakları 4 tane olmak üzere yayımlanmıştır: 

  • Veri Sorumlusundan Veri Sorumlusuna
  • Veri Sorumlusundan Veri İşleyene
  • Veri İşleyenden Veri Sorumlusuna
  • Veri İşleyenden Veri İşleyene 

-Kurum tarafından yayımlanan standart sözleşmeler tüm maddeleriyle matbu halde yayımlanmıştır. 

-Yalnızca; standart sözleşmelerde ek olarak yer alan EK-1, EK-2 ve EK-3 bölümlerinin aktarım tarafları tarafından doldurulması gerekmektedir.

-EK-1: Aktarımın Detayları, EK-2: Teknik ve İdari Tedbirler, EK-3: Alt Veri İşleyenler Listesi hakkındadır.

-Kurum tarafından daha önceki dönemlerde yayımlanan BŞK Form ve Yardımcı Kılavuzu’na benzer olarak BŞK kapsamında Kurum’a denetim ve yerinde inceleme yetkisi tanınması öngörülmüştür.

Kurum’un duyurusuna buradan ulaşabilirsiniz. 


v  Kurum’un 2023 Faaliyet Raporu yayımlanmıştır.

Kurum’un internet sitesinde 22.05.2024 tarihinde yayımlanan 2023 Faaliyet Raporu’nda; Kurum hakkında genel bilgiler, Kurum’un amaç ve hedefleri, temel politika ve öncelikleri, 2019-2023 Stratejik Planı’nda yer alan amaç ve hedefleri, faaliyetlerine ilişkin bilgi ve değerlendirmeler, mali bilgi ve değerlendirmeler yer almaktadır.

2023 Faaliyet Raporu’nda özetle aşağıdaki hususlar vurgulanmıştır:

  • Kurum’un temel amaç ve hedeflerinin; kişisel verilerin temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, kişisel verilerin korunması konusunda toplumsal farkındalığı artırmak, kurumsal yapıyı geliştirmek ve Kurum imajını güçlendirmek olduğu,
  • 2023 yılında Kurum içi 46, Kurum dışı 100 ve mevzuat taslakları hakkında 15 görüş talebine cevap verildiği,
  • Kurum tarafından toplam 868 davanın takip edildiği,
  • Kurum’a sunulan 81 taahhütname başvurusundan 48 başvurunun incelemesinin bittiği, 33 tane başvurunun incelemesinin devam edildiği, yalnızca 7 taahhütnamenin onaylandığı, 41 taahütnameye ise onay verilmediği,
  • Kurum’a toplamda 9.396 ihbar ve şikayet başvurusu yapıldığı, bu ihbar ve şikayetlerin %81’inin Cimer %14’ünün e-şikayet ve %5’inin posta aracılığıyla gerçekleştiği,
  • İhbar ve şikayetlerde; kişisel verilerin veri sorumlusu tarafında hukuka aykırı olarak işlenmesinin birinci sırada, izinsiz SMS/arama başvurularının ikinci sırada olduğu,
  • 83 adet unutulma hakkı talebi geldiği ve söz konusu talebin tüm ihbar ve şikayetlerin yalnızca %1’ini oluşturduğu,
  • İhbar ve şikayetlerden 9.396'sının 2023 senesinden, 1.889'unun ise geçmiş yıllardan kaldığı ve toplam olarak 11.285 başvurudan 9.711'inin sonuçlandırıldığı, toplamda 1.547 başvurunun henüz sonuçlandırılmadığı,
  • İhbar ve şikayet başvurularının %89'unun geçersiz olduğu, bunlardan %58’inin gereken usul şartlarını taşımamak, %31’inin ise KVKK kapsamı dışında kalan talepler olması sebebiyle reddedildiği,
  • Toplamda 531 veri sorumlusuna toplam olarak 241.082.000 TL para cezası uygulandığı, 146 milyon lira ile VERBİS sebebiyle olan cezaların en çok paya sahip olduğu,
  • 307 veri ihlali bildirimi gerçekleştirildiği ve söz konusu bildirimlerden 64’ünün Kurum tarafından ilan edildiği belirtilmiştir.

v  TÜBİSAD tarafından Sanayi ve Teknoloji Bakanlığı desteği ile Deloitte işbirliğiyle hazırlanan "Bilgi ve İletişim Teknolojileri Sektörü 2023 Yılı Pazar Verileri ve Trendleri 2023 Raporu" yayınlanmıştır.

TÜBİSAD tarafından 30.05.2024 tarihinde resmi internet sitesinde yayımlanan Bilgi ve İletişim Teknolojileri Sektörü 2023 Yılı Pazar Verileri ve Trendleri 2023 Raporu kapsamında; bilgi ve iletişim teknolojileri sektöründe 2023 yılında öne çıkan teknolojiler, "İş Hayatında Üretken Yapay Zeka", "Bulut Dönüşümü", "Platform Mühendisliği" ve "Sektörel Metaverse" olmak üzere dört ana başlıkta değerlendirilmiştir. 

Söz konusu raporda aşağıdaki hususlar vurgulanmıştır: 

  • Bilgi ve İletişim Teknolojileri sektöründe; iş hayatında üretken yapay zekanın (GenAI), bulut dönüşümün ve platform mühendisliğinin öne çıktığı,
  • İş dünyasında sürdürülebilirlik eğiliminin etkisinin devam ettiği,
  • Üretken yapay zekanın, yalnızca yazılım geliştirmede değil; basit görev otomasyonundan karmaşık problem çözümüne kadar çok geniş bir alanda uygulama yelpazesi olduğu,
  • Üretken yapay zekanın herkes tarafından olağanüstü bir hızla benimsendiği, özellikle ChatGPT’nin TikTok gibi popüler platformların büyüme hızını dahi geride bıraktığı,
  • Yazılım geliştirmede, üretken yapay zeka sayesinde, rutin ve tekrar gerektiren görevlerin yapay zekaya devredilebileceği,
  • İş hayatında üretken yapay zekaya örnek olarak; GitHub Copilot, ChatGPT, Amazon CodeGuru, DeepCode, Amazon CodeWhisperer gibi uygulamaların örnek olabileceği,
  • Bulut dönüşümü trendlerdeki yerini sağlamlaştırdıkça şirketlerin bulut stratejisini oluşturmasının kritik hale geldiği,
  • Bulut bilişim sistemlerin; genel bulut, özel bulut ve hibrit bulut olmak üzere üçe ayrıldığı,
  • Bulut bilişim hizmetlerin; SaaS (Software as a Service), PaaS (Platform as a Service) ve IaaS (Infrastructure as a Service) olmak üzere üçe ayrıldığı,
  • Platform mühendisliğinin öneminin giderek artacağı,
  • Sektörel metaverse’ün öne çıkmakta olduğu belirtilmiştir.
Bkz. https://www.tubisad.org.tr/tr/images/pdf/tubisad-bit-2023-tr.pdf




Güncel Kararlar

v  Anayasa Mahkemesi tarafından 4721 sayılı Türk Medeni Kanunu’nun 27/2 maddesindeki adın değiştirilmesinden sonra ilan edilmesine ilişkin hükmü iptal edilmiştir.

Anayasa Mahkemesi’nin (“AYM”) 2023/34 E. 2024/60 K. sayılı ve 22.02.2024 tarihli kararı uyarınca; 4721 sayılı Türk Medeni Kanunu’nun (“TMK”) “Adın Değiştirilmesi“ başlıklı 27. maddesinin 2. fıkrasında yer alan “…ilan…” ifadesi iptal edilmiştir. AYM; iptal kararını, kişisel verilerin korunması hakkı kapsamında gerekçelendirmiştir. Şöyle ki; söz konusu TMK maddesinde her ne kadar adın değiştirilmesinin ilan edileceği ifade edilmişse de söz konusu maddede bahsi geçen ilanın kapsamı, içeriği, şekli ve usulü konusunda herhangi bir düzenleme bulunmamaktadır. Uygulamada da adın değiştirilmesine ilişkin ilan gazeteler aracılığıyla gerçekleştirilmektedir. Gazete ilanında; ilgili ad değişikliği kararı hüküm fıkrası ile ilan edilmekte olup buna ek olarak kişinin önceki ad, şimdiki adı, anne ve baba adı, nüfusa kayıtlı olduğu yer ve doğum tarihi gibi kişisel verilerinin herkes tarafından bilinebilecek hale geldiği görülmektedir. AYM tarafından, söz konusu hükmün temel hak ve hürriyeti sınırlamayacak ve keyfi uygulamaya izin vermeyecek şekilde belirli ve öngörülebilir şekilde düzenlenmemesi sebebiyle iptaline karar verilmiştir. Söz konusu AYM kararı, 16.05.2024 tarihinde Resmi Gazete’de yayımlanmış olup yayımlanmasından 9 ay sonra yürürlüğe girecektir. Değişiklik öncesi ve sonrasına ilişkin tabloyu aşağıdan inceleyebilirsiniz.

Konuhakkında ilgili yazımızaburadan ulaşabilirsiniz. 

DÜNYADAKİ GELİŞMELER
Güncel Kararlar

v  İspanyol Veri Koruma Otoritesi tarafından  4FINANCE SPAIN FINANCIAL SERVICES S.A.U.’ye 360.000 € para cezası verilmiştir. 

İspanyol Veri Koruma Otoritesi, veri sorumlusu 4FINANCE SPAIN FINANCIAL SERVICES S.A.U.'ya ilgili kişilerin profillerine erişilmesine neden olan veri ihlalinin önlenmesi için gerekli olan her türlü teknik ve idari tedbiri almadığına kanaat getirmiştir. İspanyol Veri Koruma Otoritesi, veri sorumlusuna 600.000 € para cezası vermişse de söz konusu para cezasını veri sorumlusunun ödemeye gönüllü olarak sorumluluğu kabul etmesi nedeniyle para cezasını 360.000 €’ya indirmiştir.

v  İspanyol Veri Koruma Otoritesi tarafından DENTALCUADROS BCN S.L.P.'ye 12.000 € para cezası verilmiştir.

İspanyol Veri Koruma Otoritesi tarafından, veri sorumlusu DENTALCUADROS BCN S.L.P. bünyesindeki hastaların verilerine karşı bir siber saldırı gerçekleşmesi üzerine veri sorumlusunun ilgili kişilerin kişisel verilerini korumak için gerekli her türlü teknik ve idari tedbirleri almadığına kanaat getirmiştir. Ayrıca, veri sorumlusunun veri ihlalini İspanyol Veri Koruma Otoritesi’ne zamanında bildirmediği tespit edilmiştir. Bunun üzerine İspanyol Veri Koruma Otoritesince veri sorumlusuna 20.000 € para cezası verilmiştir. Ancak; söz konusu para cezasını veri sorumlusunun ödemeye gönüllü olması ve sorumluluğu kabul etmesi nedeniyle 12.000€’ya indirmiştir.

v  Polonya Veri Koruma Otoritesi tarafından Res-Gastro M. Gaweł Sp. k.’ye 56.000 € paraezası verilmiştir.

Veri sorumlusu Res-Gastro M. Gaweł Sp. k., bünyesindeki bir çalışan tarafından şifrelenmemiş bir USB belleğin kaybedilmesi sebebiyle gerçekleşen veri ihlalini Polonya Veri Koruma Otoritesi’ne bildirmiştir. Söz konusu USB Bellek başka bir çalışanın adı, adresi, cinsiyeti, doğum tarihi vb. kişisel verileri içeren belgeleri içermekte olduğundan Polonya Veri Koruma Otoritesi tarafından veri sorumlusunun ilgili kişilerin kişisel verilerini korumak için gerekli her türlü teknik ve idari tedbirleri almadığına kanaat getirilmiştir. Bu sebeple, Polonya Veri Koruma Otoritesi tarafından veri sorumlusuna 56.000 € para cezası verilmiştir.

Kamuoyu Duyuruları ve Haberler

v  Yapay Zekâ ve İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Sözleşmesi 05.09.2024 tarihinde imzaya açılacaktır.

Dünyadaki ilk yapay zekâ hakkında uluslararası anlaşma olacak olan Yapay Zekâ ve İnsan Hakları, Demokrasi ve Hukukun Üstünlüğü Sözleşmesi (“Sözleşme”), 5 Eylül 2024’te imzaya açılacaktır. Sözleşme, Avrupa Konseyi’nin insan hakları, demokrasi ve hukukun üstünlüğü standartlarına bağlı kalarak yapay zekâ sistemlerinin tasarlanması, geliştirilmesi, kullanılması ve hizmetten alınmasına ilişkindir. Özetle aşağıdaki hususlar Sözleşme için söylenebilecektir:

  • Yaşam Döngüsü Kapsamı: Sözleşme, yapay zekâ sistemlerini baştan sona yaşam döngüleri boyunca kapsayan yasal bir çerçeve ortaya koymaktadır.
  • Küresel Araç: Sözleşme, Avrupa Konseyi tarafından benzer düşüncelere sahip uluslararası ortaklarla hazırlanmış olsa da, dünyaya açık küresel bir araçtır.
  • Yüksek Etik Standartlar: Dünyanın her yerinden ülkeler Sözleşme’ye katılmaya ve Sözleşme tarafından belirlenen yüksek etik standartları karşılamaya zemin bulacaktır.
  • Düzenleyici Denge: Sözleşme, hükümetlerin, uzmanların, endüstrinin ve sivil toplumun katkılarından faydalandığı için doğru düzenleyici dengeyi yakalamaktadır.
  • Sonuçlandırma: Sözleşme, Avrupa Konseyi Yapay Zekâ Komitesi tarafından nihai hale getirilmiştir. Bu taslak metin onaylanmak üzere Bakanlar Komitesi'ne gönderilerek imzaya açılacaktır.

v  Avrupa Birliği Yapay Zekâ Yasası (“AB Yapay Zekâ Yasası”) Avrupa Konseyi tarafından kabul edilmiştir.

AB Yapay Zekâ Yasası, 21.05.2024 tarihinde Avrupa Konseyi tarafından kabul edilmiştir. Avrupa Parlamentosu ve Avrupa Konseyi başkanları tarafından imzalanarak AB Resmi Gazetesi'nde yayımlanacak ve bu yayımdan yirmi gün sonra yürürlüğe girecekse de tüm hükümleriyle yayımlanmasından iki yıl sonra geçerli olacaktır.

AB Yapay Zekâ Yasası; yapay zekâ sistemlerine yönelik risk temelli bir yaklaşım benimsediğinden, istisnalarının yürürlüğü için de bu yaklaşım benimsenmiştir. Paydaşların, yapay zekâ sisteminin türüne bağlı olarak AB Yapay Zekâ Yasası hükümlerine uymaları için 6 ila 36 ay süreleri bulunmaktadır. İstisnalar aşağıdaki şekilde belirlenmiştir:

  • Kabul Edilemez Risk Oluşturan YZ Sistemlerinin Yasaklanması: 6 ay
  • Uygulama Kuralları Hükümleri: 9 ay
  • Genel Amaçlı YZ Sistemleri Hükümleri: 12 ay
  • Yüksek Riskli YZ Sistemleri Hükümleri: 36 ay

AB Yapay Zekâ Yasası, genel olarak risk temelli bir yaklaşım benimseyerek yapay zekâ sistemlerini dörde ayırmaktadır Bunlar; minimal, sınırlı, yüksek ve kabul edilemez risk olarak sayılmıştır. Örneğin; bilişsel davranışsal manipülasyon ve sosyal puanlama gibi yapay zekâ sistemleri kabul edilemez risk seviyesinde görüldüğü için AB'de yasaklanacaktır. AB Yapay Zekâ Yasası, aynı zamanda insanları ırk, din veya cinsel yönelim gibi belirli kategorilere göre sınıflandırmak için biyometrik verileri kullanan profillemeye ve sistemlere dayalı öngörücü polislik için yapay zekânın kullanımını da yasaklamaktadır.

Tüm bunlara ek olarak AB Yapay Zekâ Yasası içerisinde “general-purpose AI” ifadesi yer almaktadır. Bu ifade ile; görüntü/konuşma, tanıma, ses/video oluşturma, model algılama, soru yanıtlama, çeviri vb. gibi genel olarak uygulanabilir işlevleri gerçekleştirebilen ve birden fazla amaç için kullanılabilen bir yapay zeka sistemi anlamına ifade edilmiştir. Bu sistemlerin yüksek riskli kategoride değerlendirilmesi halinde bazı özel önlemler sıralanmışsa da bu sistemler için genel olarak şeffaflık ilkesi benimsenmiştir.

Ayrıca, AB Yapay Zekâ Yasası’nın uygun bir şekilde işlemesi için çeşitli yönetim organları oluşturulmuştur:

  • AB genelinde ortak kuralları uygulamak için Komisyon bünyesinde bir Yapay Zekâ Ofisi,
  • Uygulama faaliyetlerini desteklemek için bağımsız uzmanlardan oluşan bilimsel bir panel,
  • AB Yapay Zekâ Yasası’nın tutarlı ve etkili bir şekilde uygulanması konusunda Avrupa Komisyonu’na ve üye devletlere tavsiyelerde bulunacak ve yardımcı olacak üye devlet temsilcilerinden oluşan bir Yapay Zekâ Kurulu,
  • Paydaşların söz konusu Yapay Zekâ Kurulu’na ve Avrupa Komisyonu’na teknik uzmanlık sunması için bir danışma forumu.

Bkz. https://www.consilium.europa.eu/en/press/press-releases/2024/05/21/artificial-intelligence-ai-act-council-gives-final-green-light-to-the-first-worldwide-rules-on-ai/  


Yasal Uyarı | Çerez Politikası | Kullanım Koşulları | Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni | © 2024 DL Avukatlık Bürosu