TÜRKİYE’de Kişisel Verilerin Korunması ve Gizlilik Hukuku Alanında Önemli Gelişmeler Ve Öngörülerimiz - 2025

Bu yılın raporunda, kişisel verilerin korunması alanındaki son gelişmeler, alınan son kararlar ve yayınlanan kılavuzlar yanında kişisel verilerin korunması hukukunun temel düzenlemeleri ve prensipleri, Türkiye’deki gelişmeler ile bu alandaki güncel önemli hususlara ve geleceğe yönelik beklentiler, değerlendirmeler ve trendlere odaklanmaktayız.

2024 yılı kişisel verilerin korunması alanında yine önemli gelişmelerin yaşandığı bir yıl oldu. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) beklenen değişikliklerin yürürlüğe girdiği, ikincil mevzuata yönelik çalışmalar, Kişisel Verileri Koruma Kurumu’nun (“Kurum”) veri sorumlularına yönelik yol gösterici mahiyetteki rehber ve yayınları, kişisel verilerin korunması alanındaki farkındalığın ve etkinliğin artırılmasına yönelik çalışmalar ile Kanun’un etkin bir şekilde uygulanması ve başta rekabet hukuku olmak üzere temas ettiği diğer hukuk alanları ile ilişkisinin doğru şekilde kurulması yönünde çalışmaların gerçekleştiği bir yılı ardımızda bıraktık.

AB’deki düzenlemelerin yankılarının ülkemizde de ses bulmasıyla, yapay zeka temelli tartışmalar henüz istenen seviye ve olgunlukta olmasa da, 2024 yılında biraz daha ön plana çıkmıştır.  Tüm dünyayı etkisi altına alan yeni sanal düzen içerisinde kişisel verilerin korunması konusunda nasıl adımlar atılması gerektiği, teknoloji ve mahremiyet arasında nasıl bir denge kurulacağı önümüzdeki yıllarda da sıcak bir gündem maddesi olmaya devam edecektir.

Kanun’a uyum noktasında her geçen yıl veri sorumluları bakımından olumlu gelişmelere tanık olmakla birlikte, Kanun’da yapılan değişiklikler ile yılın ikinci yarısı veri sorumluları için özellikle yurt dışına veri aktarımı konusunda yoğun uyum çalışmalarının yürütüldüğü bir dönem olmuştur.

Kullanıcıların hayatlarında her geçen gün daha da merkezi bir rol oynayan ve büyük ölçekli veri toplama, işleme ve paylaşma süreçleri nedeniyle bireylerin mahremiyetine yönelik riskleri açısından, dijital platformlar tüm dünyada olduğu gibi Kişisel Verileri Koruma Kurulu’nun (“Kurul”) da dikkatini çekmeye devam etmektedir. Dijital ekonominin büyümesiyle birlikte dijital platformların veri toplama ve işleme süreçleri veri koruma hukuku ile rekabet hukuku arasında önemli bir etkileşim yaratmıştır. Özellikle sosyal ağ sağlayıcısı META hakkında Rekabet Kurumu tarafından yürütülen soruşturmanın kişisel verilerin korunması alanında da etkilerinin doğacağı şüphesizdir.

Kurum’un 2024 yılındaki faaliyetlerine ilişkin yayınladığı bilgi notundaki istatistikler ise, ihbar, şikayet ve başvuru sayısında bir önceki yıla kıyasla artış olduğunu göstermektedir. 2024 yılında Kurul incelemelerine yoğun bir şekilde devam etmekle birlikte, kararlardan sadece 2’si kamuoyuna ilan edilmiştir.

Uygulamada ortaya çıkan ihtiyaçlar ve Kanun’un Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumunun sağlanması hedefi neticesinde Kişisel verilerin korunması alanında 2024 yılında önemli mevzuat değişiklikleri gerçekleşmiştir. 1 Haziran 2024 tarihinde yürürlüğe giren yasa değişiklikleri, kişisel verilerin korunması alanında yeni bir dönemi başlatmış ve 1 Eylül 2024 tarihine kadar uyumun gerçekleştirilmesi düzenlenmiştir. Bu çerçevede 10 Temmuz 2024 tarihinde, “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” yayımlanmıştır. Değişikliklere uyum için sağlanan kısıtlı uyum süreci hem veri sorumlularını hem de uygulamacıları zor durumda bırakmıştır. Kaldı ki uyum süreci pek çok veri sorumlusu bakımından halen devam etmektedir.

Kurum 2024 yılında da veri koruma alanındaki farkındalığın gelişmesi ve uygulayıcılara yol gösterici olması amacıyla çeşitli rehberler, dokümanlar ve bilgi notları yayımlamıştır. Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber, elde edilmesi halinde önemi gereği veri sahibinin diğer kişisel verilerine de erişim imkânı sağlayabilmesi nedeniyle mağduriyete yol açabilecek olan T.C. kimlik numaralarının işlenmesi faaliyetinde dikkat edilmesi gereken hususları açıklarken, Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi, seçim faaliyetlerinde yer alan kamu idarelerine, siyasi partilere, adaylara ve seçmenlere Kanun kapsamında yerine getirmeleri gereken yükümlülükleri veya sahip oldukları hakları hatırlatmıştır. Kurum, ayrıca Deepfake Bilgi Notu, Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu, 6698 Sayılı Kanun Kapsamında Kabahatlerin Zaman Bakımından Uygulanması Bilgi Notu, Sohbet Robotları (ChatGPT Örneği) Hakkında Bilgi Notu ve Kurula İletilen Şikayet ve İhbarlarda Sık Yapılan Hatalar başlıklı yayınları ile uygulayıcılara pratik bilgiler sunan içerikler yayımlamıştır.

Yurt dışına veri aktarımı kapsamında, Kanun’da düzenlenen uygun güvencelerden biri olan standart sözleşmelerin Kurum’a elektronik ortamda bildirilmesine olanak sağlayan “Standart Sözleşme Bildirim Modülü” sistemi oluşturulmuştur.

Kurul tarafından 2024 yılında 552.668.000 Türk lirası idari para cezası uygulanmış olup, söz konusu ceza tutarları ağırlıklı olarak sicile kayıt ve bildirim yükümlülüğü olduğu halde bu yükümlülüğünü yerine getirmeyen veri sorumluları hakkında uygulanan cezalardan oluşmaktadır.

Kurum, Ağustos 2024’te yayınladığı Veri Sorumluları Sicili Hakkında Kamuoyu Duyurusu’nda, sicile kayıt ve bildirim yükümlülüğünü yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen inceleme yapıldığını, sicile kayıt ve bildirim yükümlülüğü olduğu halde bu yükümlülüğünü yerine getirmeyen yurt içinde ve yurt dışında yerleşik gerçek ve tüzel kişi veri sorumlularına Kurul tarafından, 01.08.2024 tarihi itibariyle 503.935.000 TL idari para cezası uygulandığını duyurmuştur. Henüz VERBİS’e kaydolmayan yurt içinde yerleşik veri sorumlularının yıllık çalışan sayıları ve yıllık mali bilançoları verilerini her yıl değerlendirerek VERBİS kayıt yükümlülükleri olup olmadığını tespit etmeleri gerekmektedir. Yurt dışında yerleşik veri sorumlularının da, Türkiye’de kişisel verileri işledikleri sürece VERBİS’e kayıt yaptırmaları gerekmektedir.

Yurt dışı veri aktarımlarında yaşanan gelişmeler neticesinde 2024 yılında (fiilen Haziran – Aralık dönemi içinde Kurum kayıtları uyarınca) Kurum’a 1345 adet standart sözleşme bildirilmiştir. Veriler uyum çalışmalarının veri sorumluları nezdinde halen devam ettiğine işaret etmektedir.