Eylül - Aralık 2025 Sayı: 10 (Dijital Okuryazarlık ve Kişisel Verilerin Korunması)

DİJİTAL OKURYAZARLIK VE KİŞİSEL VERİLERİN KORUNMASI -- 1 of 25 -- 14 12 10Dijital Mahremiyet 8Güvenli Gelecek İçin Dijital Okuryazarlık Projesi 4Giriş 6Dijital Okuryazarlık Nedir 14 16 28 Mobil Uygulama Yüklenmeden Önce Dikkat Edilmesi Gerekenler Mobil Uygulamanın Kullanılması Sürecinde Dikkat Edilmesi Gerekenler Öne Çıkan Gelişmeler Bizden Haberler © Bütün hakları, Kişisel Verileri Koruma Kurumu’na aittir. Kaynak gösterilmek kaydıyla, tanıtım amaçlı kısa alıntı dışında yayımcının yazılı izni olmadan hiçbir yolla çoğaltılamaz. Yayımlanan yazıların ve fotoğrafların sorumluluğu yazarlarına ve sanatçısına aittir. Yönetim Yeri Nasuh Akar Mahallesi 1407. Sokak No:4 Balgat Çankaya/ANKARA Tel: (312) 216 50 00 Kişisel Verileri Koruma Kurumu KVKK Bülten www.kvkk.gov.tr Sayı:10 Kişisel Verileri Koruma Kurumu Adına İmtiyaz Sahibi Prof. Dr. Faruk BİLİR Dijital Oyunlarda Çocukların Kişisel Verilerinin Korunmasına Yönelik Tavsiyeler 3 » KVKK Bülten 2 -- 2 of 25 --

Kişisel verilerin korunmasında temel unsurlardan biri, bireylerin farkındalık düzeyidir. Birey; hangi bilgilerin kişisel veri kapsamında olduğunu ve bu verilerin kimler tarafından, hangi amaçlarla ve hangi yöntemlerle işlendiğini bildiği ölçüde haklarını koruyabilir. Farkındalık, bireyin kişisel verileri üzerindeki kontrolünü güçlendirirken; bilinçli davranışlar yoluyla olası veri ihlallerinin ve hak kayıplarının önüne geçilmesine katkı sağlar. Bu yönüyle kişisel verilerin korunması, yalnızca hukuki düzenlemelerle sınırlı bir alan olmayıp, bireyin gündelik yaşam pratikleriyle doğrudan ilişkili bir meseledir. Toplumsal düzeyde sürdürülebilir bir veri koruma kültürünün yerleşebilmesi için, farkındalık çalışmalarının yürütülmesi ve veri koruma bilincinin sürekli olarak desteklenmesi büyük önem taşımaktadır. Kişisel verilerin korunmasına yönelik farkındalığın önemli bir boyutunu ise dijital okuryazarlık oluşturmaktadır. Dijital okuryazarlık; bireyin dijital teknolojileri yalnızca etkin biçimde kullanabilmesi değil, aynı zamanda bu teknolojilerin doğurabileceği riskleri öngörebilmesi, dijital ortamlarda güvenli ve sorumlu davranışlar sergileyebilmesi anlamına gelmektedir. Günümüzde dijital ortamlar, kişisel verilerin en yoğun biçimde üretildiği ve paylaşıldığı alanlar haline gelmiş olup, dijital okuryazarlık becerileri kişisel verilerin korunmasının önemli bir parçası olarak öne çıkmaktadır. Kurum olarak, bu farkındalık anlayışıyla; kişisel verilerin korunması bilincinin toplumun tüm kesimlerine yaygınlaştırılmasını hedefleyen çeşitli proje ve faaliyetler yürütmekteyiz. Bu kapsamda çocuklara ve ebeveynlerine yönelik “Rafadan Tayfa: Veri Tayfa”, okul çağındaki çocuklara yönelik “KVKK Okulda” ve üniversite gençliğine yönelik ise “Veri Koruma Gönüllüleri” projeleri hayata geçirilmiştir. Söz konusu çalışmalar kapsamında çocuklarımıza ve gençlerimize;  Güçlü parola oluşturma teknikleri,  Sosyal medya paylaşımlarında dikkat edilmesi gereken hususlar,  Hangi kişisel verilerin paylaş

Gönüllüleri” projeleri hayata geçirilmiştir. Söz konusu çalışmalar kapsamında çocuklarımıza ve gençlerimize;  Güçlü parola oluşturma teknikleri,  Sosyal medya paylaşımlarında dikkat edilmesi gereken hususlar,  Hangi kişisel verilerin paylaşılmasının sakıncalı olabileceği,  Mobil uygulamalara erişim izni verilirken göz önünde bulundurulması gereken hususlar,  Sahte internet siteleri ve yaygın oltalama yöntemleri gibi konularda uygulamalı bilgilendirmeler yapılmıştır. Bu çalışmalarla amaçlanan, yalnızca bilgi aktarmak değil; dijital dünyada karşılaşılabilecek risklere karşı bilinçli ve sorgulayıcı bir yaklaşım geliştirilmesini sağlamaktır. Bu çalışmaların devamı niteliğinde, 17 Ekim-7 Aralık 2025 tarihleri arasında; kişisel verilerin korunması kültürünü ve dijital okuryazarlık bilincini yaygınlaştırmak, özellikle okul çağındaki çocuklarımız için öğretmenlerimizin bu alanda öncü bir rol üstlenmelerini desteklemek amacıyla “Güvenli Gelecek İçin Dijital Okuryazarlık Projesi” gerçekleştirilmiştir. Proje kapsamında, ilk etapta 16 ilde düzenlenen seminerlerde; bilgiye erişim ve bilginin doğrulanması, dijital etik, dijital ayak izleri, okul ortamında veri güvenliği, dijital mahremiyet ile 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde öğretmenlerimizle kapsamlı bilgi paylaşımlarında bulunulmuştur. Bu sayede öğretmenlerimizin, dijital dünyada güvenli davranışların yaygınlaşmasına rehberlik eden birer rol model olmaları hedeflenmiştir. Kişisel verilerin korunması ve dijital okuryazarlık alanında yürütülen bu çalışmaların, geleceğin dijital toplumunda hak ve özgürlüklerin korunmasına yönelik adımlara katkı sağlayacağına inanıyoruz. Bu çerçevede KVKK Bülten’in yeni sayısının konusunu “Dijital Okuryazarlık ve Kişisel Verilerin Korunması” olarak belirledik. Bülten’de, dijital okuryazarlığın kişisel verilerin korunmasındaki rolüne dikkat çekerek, Kurumumuz tarafından yürütülen farkındalık çalışmaları kapsamında atılan adımları okurlarımızla buluşt

olarak belirledik. Bülten’de, dijital okuryazarlığın kişisel verilerin korunmasındaki rolüne dikkat çekerek, Kurumumuz tarafından yürütülen farkındalık çalışmaları kapsamında atılan adımları okurlarımızla buluşturduk. Bülten’in tüm ilgililer için faydalı olmasını diliyoruz. 5 4 » KVKK Bülten

-- 3 of 25 --

Dijitalleşmenin hayatın her alanına nüfuz ettiği günümüzde, bireylerin dijital ortamlarla kurduğu ilişki yalnızca teknolojik araçları kullanabilme becerisiyle sınırlı değildir. Bu ilişki, aynı zamanda bilginin doğru biçimde değerlendirilmesini, paylaşılan içeriklerin olası sonuçlarının öngörülmesini ve kişisel verilerin korunmasına yönelik bilinçli tercihler yapılmasını da içermektedir. Bu çerçevede dijital okuryazarlık, teknik yeterliliklerin ötesine geçen çok boyutlu bir yetkinlik alanı olarak karşımıza çıkmaktadır. Dijital okuryazarlık; bireylerin dijital ortamda karşılaştıkları bilgileri sorgulayabilme, güvenilir kaynaklar aracılığıyla doğrulama ve bu bilgileri etik ilkeler çerçevesinde kullanabilme kapasitesini ifade etmektedir. Aynı zamanda dijital araçların sunduğu imkânlardan yararlanırken, bu araçların doğurabileceği risklerin farkında olmayı ve gerekli önlemleri alabilmeyi de kapsamaktadır. Bu yönüyle dijital okuryazarlık, bireylerin dijital dünyada edilgen kullanıcılar değil, bilinçli ve sorumlu aktörler olarak hareket etmelerini hedeflemektedir. Güncel yaklaşımlar, dijital okuryazarlığı yalnızca bireysel bir beceri alanı olarak değil, toplumsal bir farkındalık ve sorumluluk konusu olarak da ele almaktadır. Sosyal medya platformları, mobil uygulamalar, çevrim içi hizmetler ve dijital içerik üretimi gibi alanlarda sergilenen davranışlar, kişisel verilerin işlenmesiyle doğrudan ilişkilidir. Bu nedenle dijital okuryazarlık, kişisel verilerin korunmasına yönelik bilincin gelişmesinde önemli bir rol oynamaktadır. Dijital okuryazar bireyler; hangi bilgilerin hangi koşullarda paylaşılabileceğini ve hangi verilerin paylaşılmaması gerektiğini ayırt edebilen, dijital ortamlardaki hak ve sorumluluklarının farkında olan kişilerdir. Bu bilinç, yalnızca bireylerin kendilerini korumalarına değil, aynı zamanda daha güvenli, sorumlu ve sürdürülebilir bir dijital ekosistemin oluşmasına da katkı sağlamaktadır. Sonuç olarak dijital okuryazarlık, dijital dünyada güvenli ve bilinçli bir şekilde var

olan kişilerdir. Bu bilinç, yalnızca bireylerin kendilerini korumalarına değil, aynı zamanda daha güvenli, sorumlu ve sürdürülebilir bir dijital ekosistemin oluşmasına da katkı sağlamaktadır. Sonuç olarak dijital okuryazarlık, dijital dünyada güvenli ve bilinçli bir şekilde var olabilmenin temel unsurlarından birini oluşturmaktadır. Bireylerin dijital ortamda karşılaştıkları riskleri doğru şekilde değerlendirebilmeleri, kişisel verilerinin öneminin farkında olmaları ve bu verilerin korunmasına yönelik bilinçli tercihler yapabilmeleri, güçlü bir dijital okuryazarlık anlayışıyla mümkün olmaktadır. Bu anlayışın yaygınlaşması, kişisel verilerin korunmasına yönelik farkındalığın güçlenmesine ve dijital dönüşüm sürecinin güven temelinde ilerlemesine katkı sağlayacaktır. » DİJİTAL OKURYAZARLIK NEDİR? 7 6 İ KVKK Bülten

GÜVENLİ GELECEK İÇİN DİJİTAL OKURYAZARLIK PROJESİ Kurumumuz tarafından, dijital okuryazarlık ve kişisel veri farkındalığının artırılması amacıyla başlatılan “Güvenli Gelecek İçin Dijital Okuryazarlık Projesi”nin ilk etabı tamamlandı. Proje kapsamında düzenlenen seminerlerde; okul müdür yardımcıları, rehber öğretmenler ve bilişim teknolojileri öğretmenlerine yönelik dijital okuryazarlık ve kişisel verilerin korunması konularında bilgi paylaşımında bulunuldu. Proje, ilk etapta Ankara, İstanbul, Muğla, İzmir, Manisa, Afyon, Konya, Antalya, Gaziantep, Şanlıurfa, Diyarbakır, Mardin, Mersin, Adana, Kahramanmaraş ve Hatay olmak üzere toplam 16 ilde gerçekleştirildi. » GÜVENLİ GELECEK İÇİN DİJİTAL OKURYAZARLIK PROJESİ locatIon-dot " ANKARA locatIon-dot " MUĞLA locatIon-dot " MANİSA locatIon-dot " İSTANBUL locatIon-dot " ADANA locatIon-dot " HATAY locatIon-dot " KONYA locatIon-dot " GAZİANTEP locatIon-dot " DİYARBAKIR locatIon-dot " MARDİN locatIon-dot " ŞANLIURFA locatIon-dot " ANTALYA locatIon-dot " AFYONKARAHİSAR locatIon-dot " KAHRAMANMARAŞ locatIon-dot " İZMİR locatIon-dot " MERSİN 9 8 İ KVKK Bülten -- 5 of 25 --

locatIon-dot " DİYARBAKIR locatIon-dot " MARDİN locatIon-dot " ŞANLIURFA locatIon-dot " ANTALYA locatIon-dot " AFYONKARAHİSAR locatIon-dot " KAHRAMANMARAŞ locatIon-dot " İZMİR locatIon-dot " MERSİN 9 8 İ KVKK Bülten -- 5 of 25 -- DİJİTAL MAHREMİYET NEDİR? DİJİTAL MAHREMİYET NEDEN ÖNEMLİDİR? DİJİTAL MAHREMİYETİ KORUMAK İÇİN NELER YAPILABİLİR? Genel olarak bakıldığında dijital mahremiyet, bireylerin çevrim içi ortamlardaki kişisel verilerinin, iletişimlerinin ve davranışlarının gizliliğini, güvenliğini ve bireylerin bu veriler üzerindeki kontrol hakkını ifade etmektedir. Çevrim içi ortamlarda gerçekleştirdiğimiz hemen her faaliyet (mesajlaşma, görüntülü görüşme, sosyal medya paylaşımları, konum bildirimi, arama motoru sorguları, web gezinme geçmişi vb.) geride dijital izler bırakır. Bu izler kişinin kimliğine, alışkanlıklarına, günlük rutinine, tercihlerine ve hatta geleceğe yönelik planlarına, kısacası kişinin kendisine ve yakın çevresine ilişkin önemli ipuçları barındırır. Mevcut parolalarınızı güçlü ve benzersiz olacak şekilde güncelleyiniz. Kullandığınız platform ve uygulamaların gizlilik ayarlarınızı gözden geçiriniz. Her paylaşım öncesinde, içeriğin kimlerle ve ne ölçüde paylaşılacağını düşünerek hareket ediniz. Önemli olduğunu düşündüğünüz bilgilerinizi herkese açık şekilde paylaşmaktan kaçınınız. Uygulamaların talep ettiği izinleri kontrol ederek gereksiz erişimleri sınırlandırınız. İş ve işlemlerinizi, güvenliğinden emin olduğunuz cihazlar ve ağlar üzerinden gerçekleştiriniz. Şüpheli görünen bağlantıları açmayınız, doğruluğunu teyit edemediğiniz mesaj ve içeriklere itibar etmeyiniz. Yasa dışı veya zararlı olduğu bilinen internet siteleri ve uygulamalardan uzak durunuz. » DİJİTAL MAHREMİYTET 11 10 İ KVKK Bülten -- 6 of 25 --

Şüpheli görünen bağlantıları açmayınız, doğruluğunu teyit edemediğiniz mesaj ve içeriklere itibar etmeyiniz. Yasa dışı veya zararlı olduğu bilinen internet siteleri ve uygulamalardan uzak durunuz. » DİJİTAL MAHREMİYTET 11 10 İ KVKK Bülten -- 6 of 25 -- DİJİTAL OYUNLARDA ÇOCUKLARIN KİŞİSEL VERİLERİNİN KORUNMASINA YÖNELİK TAVSİYELER Dijital oyunlar, çocukların en yoğun etkileşim kurduğu çevrim içi alanlardan biri haline gelmiştir. Oyun ekosistemleri; profil oluşturma, davranışsal izleme, konum verisi toplama, oyun içi sohbet ve hedefli reklamcılık gibi birçok kişisel veri işleme faaliyetini içermektedir. Bu nedenle, dijital oyunlarda kişisel verilerin korunması hem çocukların güvenliği hem de dijital gelişimleri açısından kritik bir önem taşımaktadır. YAŞ DERECELENDİRMELERİ Yaş derecelendirmeleri dikkate alınarak hangi oyunun hangi yaş grubuna uygun olduğu belirlenmelidir. AYDINLATMA METİNLERİ Aydınlatma metinleri gözden geçirilerek çocuğa ait hangi kişisel verilerin hangi amaçlarla toplandığı ve bu verilerin kimlerle paylaşıldığı incelenmelidir. GİZLİLİK AYARLARI Oyunun hangi verilere erişim izni istediği kontrol edilmeli, gizlilik ayarları buna göre düzenlenmelidir. EBEVEYN DENETİM MEKANİZMALARI Oyun bağımlılığı riskine karşı çocuğun çevrim içi olduğu süreler takip edilmeli, gerekli görülmesi halinde oyun süreleri sınırlandırılmalıdır. Çocuklar, zararlı olduğu bilinen veya yaşlarına uygun olmayan oyunlardan uzak tutulmalıdır. OYUN İÇİ SOHBET Oyunların kamera, mikrofon, sohbet odası ve çevrim içi iletişim gibi özelliklerinin olup olmadığı tespit edilmelidir. Eğer bu özellikler varsa hangi yaş grubunun kullanımına açık olduğu değerlendirilmelidir. Çocuğun oyun oynadığı cihazda webcam/mahremiyet kapağı kullanımına özen gösterilmelidir. GÜVENLİ İLETİŞİM Çocuğun, oyun sırasında veya çevrim içi ortamlarda kendisini rahatsız eden durumları ebeveyniyle ya da güvendiği bir büyüğü ile rahatlıkla paylaşabilmesini sağlayacak güvenli bir iletişim ortamı oluşturulmalıdır. » DİJİTAL OYUNLARDA ÇOCUKLARIN KİŞİSEL VERİLERİNİN KORUNMASINA YÖNELİK TAVSİYELER 13 12 İ KVKK Bülten

ya da güvendiği bir büyüğü ile rahatlıkla paylaşabilmesini sağlayacak güvenli bir iletişim ortamı oluşturulmalıdır. » DİJİTAL OYUNLARDA ÇOCUKLARIN KİŞİSEL VERİLERİNİN KORUNMASINA YÖNELİK TAVSİYELER 13 12 İ KVKK Bülten -- 7 of 25 --

DİKKAT EDİLMESİ GEREKENLER MOBİL UYGULAMANIN KULLANILMASI SÜRECİNDE DİKKAT EDİLMESİ GEREKENLER -Uygulamanın güvenilir bir kaynaktan geldiğinden emin olunmalı ve uygulama, güvenilir olduğu değerlendirilen platformlar (örneğin, uygulama mağazaları) üzerinden cihaza indirilmelidir. Zira cihazın üreticisi veya işletim sistemi tarafından sağlanan resmi uygulama mağazaları veya mobil uygulama sağlayıcısının resmi internet sitesi gibi daha güvenilir kaynakların kullanılması, tehlikeli olabilecek uygulamaların cihaza yüklenmesi riskini azaltabilecektir. -Bir uygulama yüklenmeden önce uygulamanın geliştiricisi hakkında bilgi edinilmeli ve uygulama adının doğruluğundan emin olunmalıdır. Bu çerçevede, resmi olarak yayımlanan uygulamaları taklit eden ve kaynağı bilinmeyen uygulamalardan uzak durulmalıdır. -Uygulamanın işlevselliği ile güvenilirliği hakkında fikir edinmek için uygulamaya yönelik kullanıcı yorumlarının ve uygulamanın kullanıcılardan aldığı puanın kontrol edilmesi faydalı olacaktır. Bununla birlikte yüksek uygulama puanının ve olumlu yorumların bir uygulamayı mutlak surette güvenilir hâle getirmediği de unutulmamalıdır. -Uygulama yüklenmeden önce hangi verilere erişim izni istendiği kontrol edilmeli ve uygulamanın gizlilik politikası gözden geçirilmelidir. Uygulamanın sunduğu hizmet ile herhangi bir ilişkisi bulunmayan kişisel veri taleplerine karşı dikkatli olunmalıdır. Hizmetin sunulması için gerekli olandan daha fazla kişisel veri talep edilmesi durumunda, bu uygulamaya gerçekten ihtiyaç duyulup duyulmadığı değerlendirilmeli ve gerekiyorsa alternatif uygulamalar araştırılmalıdır. -Uygulamanın kullanımı sırasında talep edilen izinler konusunda da dikkatli olunmalıdır. Örneğin; bir navigasyon uygulamasında kullanıcıya doğru yön ve konum bilgilerinin sağlanabilmesi için kullanıcının “anlık konumunu” kullanma izni istenmesi veya bir fotoğraf düzenleme uygulamasında, fotoğraflara erişim izni istenmesi olağan bir durum olarak kabul edilmektedir. Ancak bazı uygulamalarda, u

bir navigasyon uygulamasında kullanıcıya doğru yön ve konum bilgilerinin sağlanabilmesi için kullanıcının “anlık konumunu” kullanma izni istenmesi veya bir fotoğraf düzenleme uygulamasında, fotoğraflara erişim izni istenmesi olağan bir durum olarak kabul edilmektedir. Ancak bazı uygulamalarda, uygulamanın belirli bir işlevselliği için ihtiyaç duyulmayan verilere erişim için ilave izinler de istenebilmektedir. Kullanım sırasında uygulama tarafından talep edilen izinler konusunda, mahremiyetin korunmasına yönelik endişe duyulması hâlinde erişim isteklerinin reddedilmesi ve alternatif bir uygulama araştırılması hususunun değerlendirilmesi faydalı olacaktır. -Konum, ses ve görüntü verileri elde eden mobil cihaz araçlarına sürekli erişilmesine ilişkin izinlerin, söz konusu verilerin kullanım amaçları dikkate alınarak değerlendirilmesi uygun olacaktır. -Uygulamalara giriş yapmak için sosyal medya hesaplarının kullanılmasından kaçınılmalıdır. Zira bir uygulamada kullanıcının sosyal ağ hesabına ilişkin bilgiler ile oturum açılması, kimi durumlarda uygulamanın ilgili sosyal ağ hesabından bilgi toplamasına olanak tanıyabilmekte ve hesapları tehditlere karşı daha savunmasız hâle getirebilmektedir. -Uygulamalara giriş yapmak için kullanılacak parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay şekilde tahmin edilebilecek rakam ya da harf dizileri yerine büyük-küçük harf, rakam ve sembolleri içerecek şekilde güçlü kombinasyonlar tercih edilmelidir. Mümkün olduğu durumlarda her hesap için farklı parola oluşturulmalı ve çok faktörlü doğrulama etkin hâle getirilmelidir. -Güncel olmayan yazılımlara sahip uygulamalar, saldırıya uğrama riskiyle daha fazla karşı karşıya kalabileceğinden uygulamalar güncel tutulmalıdır. Ayarların ve yapılandırmaların değişmediğinden emin olmak için güncelleme yapıldıktan sonra gizlilik ayarları kontrol edilmelidir. -İhtiyaç duyulmayan ve kullanılmayan uygulamalar mobil cihazlarda bulundurulmamalıdır. » MOBİL UYGULAMALAR 15 14 İ KVKK Bülten

-- 8 of 25 --

Kişisel Verileri Koruma Kurulunun "Turizm ve Otelcilik Sektöründe Konaklama Hizmeti Alan Kişilerin T.C. Kimlik Belgesi Fotokopisinin Kaydedilmesi Hakkında İlke Kararı" 09.12.2025 tarih ve 33102 sayılı Resmî Gazete'de yayımlandı1. Konuya ilişkin olarak Kurul tarafından yapılan değerlendirme neticesinde; Turizm ve otelcilik alanında hizmet veren veri sorumluları tarafından, konaklama yerlerinde misafir edilen kişilerden T.C. kimlik belgesi fotokopisi alınması uygulamasına son verilmesine, İlke Kararının yayımlanmasından önce konaklama amacıyla hizmet alan ilgili kişilere ait T.C. kimlik belgesi fotokopilerini kayıt altına alan veri sorumlularının bu nitelikteki belgeleri Kanun'un 7'nci maddesine uygun olarak imha etmesi gerektiğine karar verildi. Kurumumuz tarafından hazırlanan “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)” yayımlandı2. Söz konusu Rehber’de; üretken yapay zekâ sistemlerinin kişisel verilerin korunması bağlamındaki etkilerinin değerlendirilmesi, bu sistemlerin geliştirilmesi ile kullanılmasında bireylerin mahremiyetine saygılı bir yaklaşımın teşvik edilmesi ve yaşam döngüsü boyunca gerçekleştirilen kişisel veri işleme faaliyetleri bakımından veri sorumlusu niteliğini haiz aktörlere yol gösterilmesi amaçlanmaktadır. 1 https://www.resmigazete.gov.tr/eskiler/2025/12/20251209-11.pdf, 09.12.2025. 2 https://www.kvkk.gov.tr/Icerik/8547/uretken-yapay-zeka-ve-kisisel-verilerin-korunmasi-rehberi-15-soruda, 24.11.2025. Bu kapsamda öncelikle, üretken yapay zekâ sistemlerinin içerik üretim süreci, yaşam döngüsü, kullanım alanları ve kullanımının doğurabileceği risklere ilişkin temel hususlar ele alınmıştır. Devamında, üretken yapay zekâ sistemleri aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde değerlendirilmiştir. Öte yandan günlük hayatta üretken yapay zekâ uygulamalarından yararlanırken kişisel verilerin korunması açısından bireylerin dikkat etmesi gereken hususlara ve bu teknolo

Korunması Kanunu çerçevesinde değerlendirilmiştir. Öte yandan günlük hayatta üretken yapay zekâ uygulamalarından yararlanırken kişisel verilerin korunması açısından bireylerin dikkat etmesi gereken hususlara ve bu teknolojileri kullanan çocuklara yönelik olarak ebeveynler tarafından alınabilecek önlemlere ilişkin değerlendirmelere yer verilmiştir. Birleşik Krallık Veri Koruma Otoritesi (ICO), küçük işletmelerin siber güvenliklerini güçlendirmelerine yardımcı olmak amacıyla birtakım tavsiyeler paylaştı3. Bu tavsiyeler arasında; Verilerin düzenli olarak yedeklenmesi ve bu yedeklerin çalıştığından emin olunması, Güçlü parolalar kullanılması ve mümkün olan durumlarda çok faktörlü kimlik doğrulamanın uygulanması, Özellikle kalabalık ve halka açık ortamlarda söylenenlere ve ekranda açık olan belgelere dikkat edilmesi, Şüpheli e-postalara karşı dikkatli olunması ve bu konuda çalışanların bilinçlendirilmesi, Cihazlarda anti-virüs ve kötü amaçlı yazılımlara karşı koruma sağlayan yazılımların bulundurulması ve bunların güncel tutulması, Cihaz başından kısa süreli ayrılmalarda ekranın kilitlenmesi ve uzun süreli ayrılmalarda ise cihazın güvenli bir şekilde muhafaza edilmesi, Wi-Fi bağlantısının güvenli olduğundan emin olunması, Çalışanların yalnızca görevleriyle ilgili bilgilere erişebilmesini sağlamak amacıyla erişim kontrollerinin uygulanması, Çevrim içi toplantılarda ekran paylaşımı öncesinde gereksiz sekme/belgelerin kapatılması ve bildirimlerin devre dışı bırakılması, Birden fazla kişiye e-posta gönderirken alıcıların gizliliğini korumaya özen gösterilmesi ve güvenli toplu e-posta yöntemlerinin değerlendirilmesi, Kişisel verilerin yalnızca gerekli olduğu süre boyunca saklanması, 3 https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/09/information-commissioner-s-office-shares-cyber- security-tips-for-small-businesses/, 17.09.2025. 17 » KVKK Bülten 16

-- 9 of 25 --

Eski bilgi teknolojisi ekipmanları ve kayıtların kişisel veri bırakmayacak şekilde güvenli biçimde imha edilmesi gibi hususlar yer almaktadır. Fransa Veri Koruma Otoritesi (CNIL), okullarda kullanılan video gözetim cihazları aracılığıyla veri işlenmesine ilişkin olarak yol gösterici mahiyette bir içerik yayımladı4. Bu kapsamda, bu tür cihazlar kurulurken hangi önlemlerin alınması gerektiği, bir kuruma kamera kurulup kurulmayacağına kimin karar vereceği, kaydedilen görüntülere kimlerin erişebileceği, görüntülerin ne kadar süre ile saklanabileceği ve görüntüleri kaydedilen bireylere hangi bilgilerin sağlanması gerektiği gibi hususlarda açıklamalarda bulunulmaktadır. Birleşik Krallık Veri Koruma Otoritesi (ICO), yasal düzenlemelerin çerezler veya takip pikselleri gibi depolama ve erişim teknolojilerine uygulanmasına ilişkin olarak yaygın şekilde karşılaşılan yanlış anlaşılmaların giderilmesine yönelik bir içerik yayımladı5. Avrupa Veri Koruma Denetçisi (EDPS), AB kurumları, organları, ofisleri ve ajanslarına yönelik olarak gerçekleştirilen anket neticesinde, veri koruma etki değerlendirmelerine (DPIA) ilişkin eğilimlerin ve birtakım sonuçların ortaya konulduğu bir rapor yayımladı6. AB Veri Tüzüğü (Data Act), 12.09.2025 tarihi itibarıyla uygulanmaya başlandı ve Avrupa Komisyonu tarafından, düzenlemenin uygulanmasına destek olmak üzere çeşitli paydaşların katkılarıyla hazırlanan sıkça sorulan sorular dokümanı yayımlandı7. Dünya Ekonomik Forumu, sentetik verilerin dönüştürücü potansiyelini göz önünde bulundurmak suretiyle bu verilerin temel türlerinin, kullanım senaryolarının ve yönetişimine ilişkin hususların ele alındığı raporunu yayımladı8. Avustralya’da Dijital Platform Düzenleyicileri Forumu (DP-REG), kullanıcıların dijital içeriklerle üç boyutlu etkileşim ve deneyim yaşamasına imkân tanıyan sürükleyici (immersive) teknolojilerin; gizlilik, tüketicinin korunması, rekabet, medya ve bilgi ortamı ile çevrim içi güvenlik üzerindeki etkileri ve bu teknolojilere ilişkin güncel gelişmelerin incelendiği bir çalışma yayımladı9. Hollanda,

boyutlu etkileşim ve deneyim yaşamasına imkân tanıyan sürükleyici (immersive) teknolojilerin; gizlilik, tüketicinin korunması, rekabet, medya ve bilgi ortamı ile çevrim içi güvenlik üzerindeki etkileri ve bu teknolojilere ilişkin güncel gelişmelerin incelendiği bir çalışma yayımladı9. Hollanda, Macaristan, İtalya ve Lihtenştayn veri koruma otoritelerinin ortak çalışması neticesinde, akıllı televizyonlara ilişkin bir araştırma raporu yayımlandı10. Tüketiciler bakımından büyük ölçüde görünmez nitelikte olan veri akışlarının teknik açıdan incelendiği raporda; cihazların kurulumundan kapalı konuma getirilmesine kadar farklı aşamalarda sürekli bir şekilde veri ilettiği, internet bağlantılı televizyonların faaliyet gösterdiği ekosistemin çok paydaşlı ve şeffaf olmayan bir yapıya sahip olduğu, çok sayıda taraf bulunmasının veri sorumluluğunun tespiti 4 https://www.cnil.fr/fr/les-dispositifs-video-dans-les-etablissements-scolaires, 12.09.2025. 5 https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/09/fact-vs-fiction-ico-debunks-myths- on-storage-and-access-technologies/, 11.09.2025. 6 https://www.edps.europa.eu/data-protection/our-work/publications/reports/2025-09-08-edps-report-dpia- survey-2024-eu-institutions-bodies-offices-and-agencies_en, 08.09.2025. 7 https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data- act, 06.09.2025. 8 https://reports.weforum.org/docs/WEF_Synthetic_Data_2025.pdf, Eylül 2025. 9 https://www.oaic.gov.au/news/media-centre/digital-platform-regulators-release-working-paper-on-immersive- technologies, 24.09.2025. 10 https://www.autoriteitpersoonsgegevens.nl/documenten/rapport-verkennend-onderzoek-smart-tvs, 23.09.2025. ve rollerin dağılımı konusunda zorluklar ortaya çıkardığı, kullanıcıların çoğu durumda kullanım koşullarını kabul etmek dışında gerçekçi bir seçeneğe sahip olmadıkları, cihazlara önceden yüklenmiş silinemeyen uygulamaların varlığının veri minimizasyonu ilkesi ile ilgili kişilerin haklarının etkin kullanımı açısından önemli endişelere yol açtığı yönündeki genel gözlemlere yer verilmektedir. Avrupa Parlamentosu Araştırma Servisi (EPRS), bu yılın nisan ayı içerisinde Avrupa Komisyonu tarafından yayımlanan

uygulamaların varlığının veri minimizasyonu ilkesi ile ilgili kişilerin haklarının etkin kullanımı açısından önemli endişelere yol açtığı yönündeki genel gözlemlere yer verilmektedir. Avrupa Parlamentosu Araştırma Servisi (EPRS), bu yılın nisan ayı içerisinde Avrupa Komisyonu tarafından yayımlanan “AI Continent Action Plan” başlıklı eylem planına ilişkin bilgilendirme dokümanı yayımladı11. UNESCO, yapay zekânın eğitim üzerindeki etkisinin ortaya çıkardığı felsefi, etik ve pedagojik ikilemlerin ele alındığı, 21 çalışmadan oluşan “Yapay Zekâ ve Eğitimin Geleceği: Yıkıcı Etkiler, İkilemler ve Yönelimler” başlıklı derlemeyi yayımladı12. Avrupa Birliği Adalet Divanı (ABAD) C-413/23 sayılı kararında, psödönim verilerin üçüncü taraflara aktarılması bağlamında “kişisel veri” kavramının kapsamına açıklık getirdi13. Bu bağlamda özetle ABAD, psödönim verilerin her durumda ve her alıcı bakımından kişisel veri olarak nitelendirilemeyeceğini; bunun, ilgili kişinin makul surette yeniden tanımlanabilir olup olmadığının somut olayın koşulları çerçevesinde değerlendirilmesine bağlı olduğunu vurguladı. Avrupa Birliği Siber Güvenlik Ajansı (ENISA) tarafından yayımlanan “Threat Landscape 2025” raporu, 1 Temmuz 2024 – 30 Haziran 2025 döneminde gerçekleşen 4875 siber olayın analizine dayanmaktadır14. Rapor, AB’nin mevcut siber tehdit ekosistemini ortaya koymakta ve güvenlik açıklarının hızla istismar edilmesi, saldırganların izlenmesindeki artan karmaşıklık ve süreklilik kazanan saldırı operasyonları ile şekillenen olgunlaşmış bir tehdit ortamını vurgulamaktadır. Raporda öne çıkan bulgulardan bazıları şu şekildedir: Fidye yazılımları, tehdit ortamının merkezinde yer almaya devam etmektedir. Siber suç grupları, kolluk kuvvetlerinin müdahalelerine yanıt olarak faaliyetlerini merkeziyetsizleştirmiş, daha agresif şantaj yöntemleri benimsemiş ve “hizmet olarak fidye yazılımı” (RaaS) modelleri ile ekosistemi çeşitlendirip profesyonelleştirmiştir. Devlet bağlantılı tehdit grupları; telekomünikasyon, lojistik ve imalat

kolluk kuvvetlerinin müdahalelerine yanıt olarak faaliyetlerini merkeziyetsizleştirmiş, daha agresif şantaj yöntemleri benimsemiş ve “hizmet olarak fidye yazılımı” (RaaS) modelleri ile ekosistemi çeşitlendirip profesyonelleştirmiştir. Devlet bağlantılı tehdit grupları; telekomünikasyon, lojistik ve imalat sektörlerini hedef alan uzun vadeli siber casusluk operasyonlarını sürdürmektedir. Bu gruplar, özellikle tedarik zinciri saldırıları ve gelişmiş zararlı yazılım çerçeveleri gibi kullanımlarla öne çıkmaktadır. “Hacktivist” faaliyetler, toplam olayların yaklaşık %80’ini oluşturmaktadır. Çoğunlukla düşük maliyetli DDoS saldırılarına dayalı bu faaliyetler, etkileri sınırlı olsa da ideolojik motivasyonlarla düşük maliyetli araçların geniş ölçekte kullanılabildiğini göstermektedir. Oltalama saldırıları, %60 oranla en yaygın saldırı vektörü olmaya devam etmektedir. “Hizmet olarak oltalama” (PhaaS) platformlarının yükselişi ve QR tabanlı oltalama yöntemleri, bu alandaki endüstrileşmeyi açıkça ortaya koymaktadır. Zafiyet istismarı ise olayların %21.3’ünde başlangıç vektörü olarak öne çıkmakta olup bu durum, zamanında yama yönetiminin ve temel siber hijyen önlemlerinin kritik önemini ortaya koymaktadır. 11 https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2025)775923, 22.09.2025. 12 https://www.unesco.org/en/articles/ai-and-future-education-disruptions-dilemmas-and-directions, 02.09.2025. 13 https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250107en.pdf, 04.09.2025. 14 https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025, 01.10.2025. 19 » KVKK Bülten 18

-- 10 of 25 --

mühendislik operasyonlarının %80’inden fazlasının, yapay zekâ araçları ile gerçekleştirildiği görülmektedir. Jailbreak edilmiş modeller, deep fake içerikler ve model zehirleme teknikleri, saldırıların etkinliğini artıran başlıca yöntemler olarak öne çıkmaktadır. Bu çerçevede genel olarak bakıldığında söz konusu raporda, AB’deki siber tehdit ortamının tekil yüksek etkili saldırılardan ziyade; sürekli, çeşitlenen ve iç içe geçen operasyonlar aracılığıyla şekillendiği ve bu durumun hem kurumsal hem de toplumsal düzeyde siber dayanıklılığı aşındıran bir dinamik ortaya koyduğu vurgulanmaktadır. Hong Kong Veri Koruma Otoritesi (PCPD), CCTV sistemleri, drone’lar ve araç içi kameraların kullanımına ilişkin yeni rehberler ve bilgilendirme broşürleri yayımladı15. Bu kapsamda bahse konu dokümanlar ile teknolojinin etkin bir şekilde kullanılmasına yardımcı olmak ve mevzuat kapsamındaki ilgili gerekliliklere uygun olarak kişisel verilerin gizliliğinin korunmasını sağlamak amacıyla, bu araçların sorumlu bir şekilde kullanımına yönelik yol gösterilmesinin hedeflendiği belirtilmektedir. İsviçre Veri Koruma Otoritesi (FDPIC), çerezler ve benzer teknolojiler kullanılarak gerçekleştirilen veri işleme faaliyetlerine ilişkin Rehber’in güncellenmiş versiyonunu yayımladı16. Danimarka Veri Koruma Otoritesi (Datatilsynet), okullar ve kreşler/gündüz bakım evleri hakkındaki tematik sayfasının, pratik içerikler ve okullarda veri korumasına ilişkin kapsamlı bir bakış sunan “Sıkça Sorulan Sorular” bölümüyle genişletildiğini ve güncellendiğini duyurdu17. İspanya Veri Koruma Otoritesi (AEPD), çocukların korunması ile kişisel verilerin korunması arasındaki ilişkinin ele alındığı bir içerik yayımladı18. Otorite, çocukların korunması ile veri korumanın birbirine zıt değil, temelde birbiriyle bağlantılı olduğunu belirterek, bu iki alanın bir arada ve çocuğun üstün yararı gözetilerek ele alınması gerektiğinin altını çizdi. Fransa Veri Koruma Otoritesi (CNIL), sadakat programları aracılığıyla toplanan veriler açısından

korumanın birbirine zıt değil, temelde birbiriyle bağlantılı olduğunu belirterek, bu iki alanın bir arada ve çocuğun üstün yararı gözetilerek ele alınması gerektiğinin altını çizdi. Fransa Veri Koruma Otoritesi (CNIL), sadakat programları aracılığıyla toplanan veriler açısından veri taşınabilirliği hakkının değerlendirildiği bir içerik yayımladı19. Avrupa Veri Koruma Kurulu (EDPB), Koordineli Uygulama Çerçevesi (Coordinated Enforcement Framework) kapsamında 2026 yılının konusunun AB Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki şeffaflık ve bilgilendirme yükümlülüklerine uyum olarak belirlendiğini duyurdu20. 15 https://www.pcpd.org.hk/english/news_events/media_statements/press_20251027.html, 27.10.2025 16 https://www.edoeb.admin.ch/en/cookie-guidelines-updated-version, 07.10.2025. 17 https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/okt/-opdateret-temaside-om-skoler-og- daginstitutioner, 23.10.2025. 18 https://www.aepd.es/en/press-and-communication/blog/keeping-the-balance-between-fundamental-rights- case-of-children-protection, 01.10.2025. 19 https://www.cnil.fr/fr/programmes-de-fidelite-la-cnil-precise-lapplication-du-droit-la-portabilite-des-donnees, 14.10.2025. 20 https://www.edpb.europa.eu/news/news/2025/coordinated-enforcement-framework-edpb-selects-topic-2026_ en, 14.10.2025. Avrupa Parlamentosu, AB Yapay Zekâ Tüzüğü ile AB dijital mevzuat çerçevesi arasındaki etkileşimin ele alındığı bir çalışma yayımladı21. AB Yapay Zekâ Tüzüğü’nün, Genel Veri Koruma Tüzüğü (GDPR), Veri Tüzüğü ve Siber Dayanıklılık Tüzüğü gibi diğer önemli düzenlemelerle ilişkisinin incelendiği çalışmada; her bir düzenlemenin kendi alanında iyi tasarlanmış olduğu belirtilmekle birlikte, bu düzenlemelerin birlikte uygulanmasının önemli ölçüde düzenleyici karmaşıklığa yol açtığı ortaya konulmaktadır. Bunun yanı sıra, düzenlemeler arasındaki uyumun güçlendirilmesi, uygulamadaki belirsizliklerin giderilmesi ve AB’nin yapay zekâ ekosisteminin rekabetçiliğini koruyacak bütüncül bir dijital çerçevenin oluşturulmasına yönelik öneriler sunulmaktadır. Hollanda Veri Koruma

düzenlemeler arasındaki uyumun güçlendirilmesi, uygulamadaki belirsizliklerin giderilmesi ve AB’nin yapay zekâ ekosisteminin rekabetçiliğini koruyacak bütüncül bir dijital çerçevenin oluşturulmasına yönelik öneriler sunulmaktadır. Hollanda Veri Koruma Otoritesi (AP), kuruluşların AB Yapay Zekâ Tüzüğü kapsamındaki yükümlülüklerini yerine getirmelerine destek olmak amacıyla “Yapay Zekâ Okuryazarlığını Geliştirme” başlıklı rehberi yayımladı22. Otorite’nin bu konudaki ilk rehberi olan “Yapay Zekâ Okuryazarlığına Başlayın” çalışmasının23 devamı niteliğindeki yeni rehberde; yapay zekâ sistemlerinin etkilerinin değerlendirilmesi, risklerin yönetilmesi ve çalışanların teknik, etik ve sosyal boyutlarda bilgi düzeylerinin güçlendirilmesine yönelik pratik örnekler sunulmaktadır. OECD, yapay zekâ sistemlerinin eğitimi kapsamında kullanılan veri toplama mekanizmalarının incelendiği, bu mekanizmaların çeşitliliğinin yapay zekâ geliştiricileri, ilgili kişiler ve diğer hak sahipleri üzerindeki etkilerinin değerlendirildiği; ayrıca gizlilik, veri yönetişimi ve sorumlu yapay zekâ geliştirme konularındaki politika tartışmalarına katkı sağlamayı amaçlayan bir taksonomi önerisini içeren bir çalışma yayımladı24. Avrupa Komisyonu, sağlık hizmetlerinde yapay zekânın güvenli ve etkili kullanımını geliştirmek amacıyla bir uzman topluluğu oluşturulmasını içeren COMPASS-AI isimli yeni bir girişim başlatıldığını ve söz konusu girişimin, yapay zekânın klinik ortamlara sorumlu ve etkili bir şekilde entegre edilmesini teşvik etmek için çalışacağını duyurdu25. Avrupa Komisyonu Ortak Araştırma Merkezi (JRC), yapay zekânın bilimsel araştırmalardaki rolünün ele alındığı bir çalışma yayımladı26. Avrupa Komisyonu, AB Yapay Zekâ Tüzüğü’nün uygulanmasını desteklemek üzere Yapay Zekâ Tüzüğü Hizmet Masası ile Tek Bilgi Platformu’nun hayata geçirildiğini duyurdu27. Avrupa Veri Koruma Denetçisi (EDPS), hızla değişen dijital çağda veri korumasını güçlendiren, gü

Avrupa Komisyonu, AB Yapay Zekâ Tüzüğü’nün uygulanmasını desteklemek üzere Yapay Zekâ Tüzüğü Hizmet Masası ile Tek Bilgi Platformu’nun hayata geçirildiğini duyurdu27. Avrupa Veri Koruma Denetçisi (EDPS), hızla değişen dijital çağda veri korumasını güçlendiren, güncellenmiş Üretken Yapay Zekâ Rehberi'ni yayımladı28. Söz konusu Rehber'in yeni versiyonu ile AB kurumları, organları, ofisleri ve ajanslarının üretken yapay zekâdan yararlanırken kişisel verilerin korunmasına ilişkin yükümlülüklerini daha etkin bir şekilde yerine getirmelerinin amaçlandığı belirtilmektedir. 21 https://www.europarl.europa.eu/thinktank/en/document/ECTI%5FSTU%282025%29778575, 30.10.2025. 22 https://www.autoriteitpersoonsgegevens.nl/en/current/building-ai-literacy, 23.10.2025. 23 https://www.autoriteitpersoonsgegevens.nl/en/documents/get-started-with-ai-literacy, 30.01.2025. 24 https://www.oecd.org/en/publications/mapping-relevant-data-collection-mechanisms-for-ai-training_3264cd4c-en.html, 03.10.2025. 25 https://digital-strategy.ec.europa.eu/en/news/commission-launches-flagship-initiative-increase-use-ai-healthcare, 21.10.2025. 26 https://publications.jrc.ec.europa.eu/repository/handle/JRC143482, 08.10.2025. 27 https://digital-strategy.ec.europa.eu/en/news/commission-launches-ai-act-service-desk-and-single-information-platform- support-ai-act, 08.10.2025. 28 https://www.edps.europa.eu/press-publications/press-news/press-releases/2025/edps-unveils-revised-guidance-generative- ai-strengthening-data-protection-rapidly-changing-digital-era_en, 28.10.2025. » ÖNE ÇIKAN GELİŞMELER 21 20 » KVKK Bülten

» ÖNE ÇIKAN GELİŞMELER

yapay zekâ tabanlı sohbet botları hakkında bir görüş dokümanı yayımladı29. Bu kapsamda, hizmetlerinde sohbet botu kullanan kuruluşların bireylere her zaman bir temsilciyle görüşme seçeneği sunması gerektiği, bir sohbet botunun ne zaman kullanıldığını açıkça belirtmeleri ve sohbet botunun yanlış, kaçamak veya yanıltıcı bilgi vermediğinden emin olmaları gerektiği belirtildi. Diğer yandan sohbet botlarının, büyük miktarda veri kullanılarak eğitilen bir tür üretken yapay zekâ olduğuna dikkat çekilerek sohbet botu kullanımının ortaya çıkarabileceği bilgi güvenliği ve gizlilik risklerine dikkat çekildi. Uluslararası Standardizasyon Teşkilatı (ISO), “ISO/IEC 27701 Kişisel Veri Yönetim Sistemi” standardının güncellendiğini duyurdu30. Söz konusu ISO/IEC 27701:2025 standardı; kuruluşların hesap verebilirliklerini göstermelerine, kişisel verilere ilişkin riskleri yönetmelerine ve gizliliğe yönelik uygulamalarını sürekli olarak iyileştirmelerine yardımcı olmayı amaçlayan uluslararası bir çerçeve sunmaktadır. Birleşmiş Milletler’in (BM) siber suçlarla mücadeleye yönelik ilk küresel sözleşmesi, 65 ülke tarafından Vietnam’ın başkenti Hanoi’de imzalandı31. Beş yıllık müzakerelerin ardından Aralık 2024’te BM Genel Kurulu tarafından kabul edilen “Siber Suçlara Karşı Birleşmiş Milletler Sözleşmesi”, çevrim içi işlenen çeşitli suçların soruşturulması ve kovuşturulması için ilk evrensel çerçeveyi oluşturmakta ve uluslararası iş birliğini güçlendirmeyi amaçlamaktadır. TÜBİTAK, yapay zekâ teknolojilerinin sorumlu, etik ve güvenilir kullanımını temin etmek amacıyla hazırlanan “Destek Süreçlerinde Üretken Yapay Zekânın Sorumlu ve Güvenilir Kullanımı Rehberi”ni yayımladı32. Bahse konu Rehber’de; proje başvurularının hazırlanmasında üretken yapay zekânın rolü, kullanımın şeffaf bir şekilde beyan edilmesi zorunluluğu ve gizli verilerin korunmasına yönelik kurallar açıklanmaktadır. Diğer y

Rehberi”ni yayımladı32. Bahse konu Rehber’de; proje başvurularının hazırlanmasında üretken yapay zekânın rolü, kullanımın şeffaf bir şekilde beyan edilmesi zorunluluğu ve gizli verilerin korunmasına yönelik kurallar açıklanmaktadır. Diğer yandan, değerlendirme süreçlerinin gizliliğini ve tarafsızlığını korumak amacıyla değerlendiriciler için geçerli olan kısıtlamalar da detaylandırılmaktadır. Eğitimde yapay zekânın etik, kapsayıcı ve insan odaklı kullanımına rehberlik etmesi amacıyla, ülkemizde Millî Eğitim Bakanlığı tarafından hazırlanan “Yapay Zekâ Etiği Tavsiyeleri” kitapçığı kamuoyu ile paylaşıldı33. Avrupa Parlamentosu, AB Hukukunun uygulanmasının izlenmesini desteklemek amacıyla yapay zekâ tekniklerinin kullanımının incelendiği bir rapor yayımladı34. Söz konusu raporda, yapay zekânın hukuk uygulamalarındaki güncel durumu ortaya konulmakta olup mevzuatın hazırlanması ve uygulanması süreçlerinde bu teknolojilerin kullanım şekilleri değerlendirilmektedir. Bunun yanı sıra, direktiflerin ulusal hukuka aktarımının izlenmesi, bağlayıcı hükümlerin uygulanması, idari işlemler, yargı kararları ve toplumsal davranışların analizi gibi alanlarda yapay zekânın mevcut ve potansiyel katkıları incelenmekte ve genel olarak yapay zekânın 29 https://www.autoriteitpersoonsgegevens.nl/actueel/ap-en-acm-chatbot-mag-mens-niet-volledig-vervangen- bij-klantenservice, 02.10.2025. 30 https://www.iso.org/standard/27701, Ekim 2025. 31 https://news.un.org/en/story/2025/10/1166182, 25.10.2025. 32 https://tubitak.gov.tr/tr/duyuru/tubitak-destek-sureclerinde-uretken-yapay-zeka-kullanimina-yonelik-yeni- rehber-yayinlandi, 28.10.2025. 33 https://www.meb.gov.tr/mebden-egitimde-yapay-zekya-yonelik-etik-tavsiyeler/haber/38766/tr, 25.10.2025. 34 https://www.europarl.europa.eu/thinktank/en/document/IUST_STU(2025)777915, 30.10.2025. AB hukukunun uygulanmasının izlenmesini daha doğru ve verimli bir hâle getirme potansiyeline sahip olduğunun altı çizilerek bu

34 https://www.europarl.europa.eu/thinktank/en/document/IUST_STU(2025)777915, 30.10.2025. AB hukukunun uygulanmasının izlenmesini daha doğru ve verimli bir hâle getirme potansiyeline sahip olduğunun altı çizilerek bu yönde çeşitli öneriler sunulmaktadır. Avrupa Komisyonu, “Veri Birliği Stratejisi – Yapay Zekâ için Verinin Açığa Çıkarılması” başlıklı bir belge yayımladı35. Yapay zekâ için verilere erişimin artırılması, veri kurallarının sadeleştirilmesi ve uluslararası veri akışlarına ilişkin olarak AB’nin küresel konumunun güçlendirilmesi olmak üzere üç öncelikli alana odaklanan Veri Birliği Stratejisi’nin, uygun olduğu ölçüde, politika yapıcılara ve özellikle KOBİ’ler başta olmak üzere sanayiye, engellerin kaldırılması ve veriye ilişkin tek pazarın tamamlanması konusunda rehberlik edecek bir çerçeve sunabileceği belirtilmektedir. Avrupa Veri Koruma Denetçisi (EDPS), yapay zekâ sistemleriyle ilişkili yaygın risklerin belirlenmesine ve azaltılmasına yardımcı olmayı amaçlayan "Yapay Zekâ Sistemlerinin Risk Yönetimine İlişkin Rehber"i yayımladı36. Avrupa Komisyonu, işletmelere, kamu idarelerine ve bireylere kolaylık sağlamak ve rekabetçiliği teşvik etmek amacıyla, seçilmiş geniş bir dijital mevzuat bütününe ilişkin bir dizi değişiklik içeren “Digital Omnibus” teklifini yayımladı37. İspanya Veri Koruma Otoritesi (AEPD), bağımsız (freelance) çalışanların ve KOBİ’lerin kişisel verileri daha güvenli bir şekilde işlemelerine yardımcı olmak amacıyla “şifreleme” yöntemine ilişkin bir rehber yayımladı38. UNICEF, çevrim içi oyunlarda çocukların korunmasına ilişkin yeni bir rapor yayımladı39. Bahse konu raporda, çevrim içi oyun ortamlarında çocukların hem oyun oynama hem de şiddetten korunma haklarının güvence altına alınması gerektiği; bu hedefe ulaşmak için ise etkili önleme, tespit ve müdahale mekanizmalarının geliştirilmesinin zorunlu olduğu vurgulanmaktadır. Rapor, şiddet yanlısı

çevrim içi oyun ortamlarında çocukların hem oyun oynama hem de şiddetten korunma haklarının güvence altına alınması gerektiği; bu hedefe ulaşmak için ise etkili önleme, tespit ve müdahale mekanizmalarının geliştirilmesinin zorunlu olduğu vurgulanmaktadır. Rapor, şiddet yanlısı yapılanmaların çocukları propaganda ve şiddet eylemlerine dahil etmek amacıyla çevrim içi oyun ekosistemlerini nasıl araçsallaştırdığını analiz etmektedir. Oyunların sosyal ve teknik özelliklerinin, bu yapılanmalar tarafından çocuklara ulaşmak, onları etkilemek ve örgütlemek için kullanılabildiğinin altı çizilmektedir. Söz konusu risklerin bütüncül biçimde ele alınması gerektiğine dikkat çekilen raporda; uluslararası kuruluşlar, hükümetler ve düzenleyici kurumlar, oyun şirketleri ve platformlar ile sivil toplum, eğitimciler ve ebeveynler olmak üzere dört temel paydaş grubuna yönelik öneriler sunulmaktadır. Bu doğrultuda, çevrim içi oyun alanlarının çocuklar için kapsayıcı, yaratıcı ve güvenli kalabilmesi adına tüm aktörler ortak bir sorumluluk anlayışıyla hareket etmeye çağrılmaktadır. İrlanda Veri Koruma Otoritesi (DPC), okullar için hazırlanan veri koruma araç setini ve buna dayalı oluşturulan infografikleri paylaştı40. 35 https://digital-strategy.ec.europa.eu/en/library/data-union-strategy-unlocking-data-ai, 19.11.2025. 36 https://www.edps.europa.eu/data-protection/our-work/publications/guidelines/2025-11-11-guidance-risk-management- artificial-intelligence-systems_en, 11.11.2025. 37 https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal, 19.11.2025. 38 https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-agencia-publica-guia-ayudar-a-autonomos-y-pymes, 18.11.2025. 39 https://www.unicef.org/innocenti/reports/protecting-children-online-gaming, Ekim 2025. 40 https://www.dataprotection.ie/en/dpc-guidance/data-protection-toolkit-schools#Toolkit. 23 22 » KVKK Bülten

-- 12 of 25 --

duyurdu41. Fransa Veri Koruma Otoritesi (CNIL), Fransız kullanıcıların kişisel verilerin kullanımı ve çevrim içi reklamlara rıza verme konusundaki algılarının incelendiği anketin sonuçlarını üç bölüm hâlinde yayımladı. Bu kapsamda serinin ilk çalışmasında42, hedefli reklamcılık olmaksızın sunulan hizmetlere erişim karşılığında kullanıcıların ödeme yapmaya ne ölçüde istekli oldukları; ikinci çalışmasında43 bireylerin kişisel verilerini bir “para birimi” olarak kullanmaya yönelik eğilimleri ve son bölümünde44 ise kişisel verilere yönelik siber suçların doğurduğu riskler ile veri ihlallerinden etkilenen kişiler açısından ortaya çıkan maddi zararlar incelenmektedir. Avrupa Veri Koruma Denetçisi (EDPS), gelişmekte olan teknolojilere ilişkin trendlerin öngörüldüğü “TechSonar”ın 2025-2026 yılına ilişkin raporunu yayımladı45. Raporun bu versiyonunda; Etken Yapay Zekâ (Agentic AI) Yapay Zekâ Refakatçileri (AI Companions) Otomatik Gözetmenlik (Automated Proctoring) Yapay Zekâ Destekli Kişiselleştirilmiş Öğrenme (AI-driven Personalised Learning) Kodlama Asistanları (Coding Assistants) Gizli Bilişim (Confidential Computing) teknolojilerine yer verilmektedir. Dünya Ekonomik Forumu, “AI agent”ların ortaya çıkışının ele alındığı, güvenli ve etkili benimsemeyi desteklemek amacıyla teknik temellerin, sınıflandırmaların, değerlendirme yöntemlerinin ve yönetişim yaklaşımlarının incelendiği bir çalışma yayımladı46. Bahse konu çalışmada, bu araçların sorumlu bir şekilde tasarlanması, test edilmesi ve denetlenmesi süreçlerinde karar vericilere, teknik liderlere ve “AI agent”ları kurumsal iş akışlarına ve hizmetlerine entegre etmeyi hedefleyen uygulayıcılara yol gösterilmesinin amaçlandığı belirtilmektedir. Avrupa Parlamentosu, yapay zekânın finans sektörü üzerindeki etkisine ilişkin bir kararı 25.11.2025 tarihinde kabul etti47. 41 https://www.unesco.org/en/ethics-neurotech/recommendation, Kasım 2025. 42 https://www.cnil.fr/en/are-we-ready-pay-online-services-without-targeted-advertising, 29.10.2025. 43 https://www.cnil.fr/en/monetisation-personal-data-how-m

Avrupa Parlamentosu, yapay zekânın finans sektörü üzerindeki etkisine ilişkin bir kararı 25.11.2025 tarihinde kabul etti47. 41 https://www.unesco.org/en/ethics-neurotech/recommendation, Kasım 2025. 42 https://www.cnil.fr/en/are-we-ready-pay-online-services-without-targeted-advertising, 29.10.2025. 43 https://www.cnil.fr/en/monetisation-personal-data-how-much-our-data-worth, 18.11.2025. 44 https://www.cnil.fr/en/cybercrime-what-risks-and-consequences-personal-data, 28.11.2025. 45 https://www.edps.europa.eu/data-protection/our-work/publications/reports/2025-11-24-techsonar-2025-2026_ en, 24.11.2025. 46 https://www.weforum.org/publications/ai-agents-in-action-foundations-for-evaluation-and-governance/, 27.11.2025. 47 https://www.europarl.europa.eu/doceo/document/TA-10-2025-0286_EN.pdf, 25.11.2025. Avrupa Bankacılık Otoritesi (EBA), AB Yapay Zekâ Tüzüğü’nün bankacılık ve ödeme sektörü üzerindeki etkilerine ilişkin bir çalışma yayımladı48. UNESCO, mahkemelerde ve yargı mercilerinde yapay zekâ sistemlerinin kullanımına ilişkin rehber ilkeleri yayımladı49. Avrupa Parlamentosu Araştırma Servisi (EPRS), yapay zekânın arama motorlarının kullanımı üzerindeki etkisinin ve bu çerçevede ortaya çıkan temel zorlukların ele alındığı bir çalışma yayımladı50. AB Temel Haklar Ajansı (FRA), AB Yapay Zekâ Tüzüğü kapsamında yüksek riskli olarak tanımlanan alanlarda yapay zekânın geliştirilmesi ve kullanılmasının temel haklar açısından değerlendirildiği bir rapor yayımladı51. Avustralya Dijital Dönüşüm Ajansı, kamu kurumlarının planladıkları yapay zekâ kullanımlarını değerlendirmelerine yardımcı olmak amacıyla hazırlanan Yapay Zekâ Etki Değerlendirmesi aracını ve buna ilişkin destekleyici kılavuzu yayımladı52. Avustralya Veri Koruma Otoritesi (OAIC), iş yerinde üretken yapay zekâ araçlarının kullanımına ilişkin bilgilendirici mahiyette bir içerik yayımladı53. Bu kapsamda, kamuya açık üretken yapay zekâ araçlarının ortaya çıkarabileceği risklere ve bireylere verilebilecek zararlara karşı dikkatli olunması gerektiği belirtilerek, kuruluşlar bünyesinde bütüncül ve kapsamlı bir uyumluluk ve risk yönetimi yaklaşımı geliştirilmesinin ön

ortaya çıkarabileceği risklere ve bireylere verilebilecek zararlara karşı dikkatli olunması gerektiği belirtilerek, kuruluşlar bünyesinde bütüncül ve kapsamlı bir uyumluluk ve risk yönetimi yaklaşımı geliştirilmesinin önemi vurgulandı. UNICEF, yapay zekâ ve çocuklara ilişkin rehberin güncellenmiş versiyonunu yayımladı54. Çocukların haklarını koruyan yapay zekâ politikaları ve sistemleri oluşturulmasına yardımcı olmaya yönelik hazırlandığı belirtilen Rehber’de, çocuk merkezli yapay zekânın temelleri ile gerekliliklerine ilişkin kapsamlı bir çerçeve sunulmakta ve bu yönde önerilerde bulunulmaktadır. Bu kapsamda çocuk merkezli yapay zekâ için gereklilikler şu şekilde belirtilmektedir: Çocuk merkezli yapay zekâ için düzenleyici çerçeveleri, denetimi ve uyumu güvence altına almak, Çocuklar için güvenliği sağlamak, Çocukların verilerini ve mahremiyetini korumak, Çocuklara yönelik ayrımcılığı önlemek ve hakkaniyeti güvence altına almak, 48 https://www.eba.europa.eu/sites/default/files/2025-11/d8b999ce-a1d9-4964-9606-971bbc2aaf89/AI%20Act%20 implications%20for%20the%20EU%20banking%20sector.pdf, Kasım 2025. 49 https://www.unesco.org/en/articles/guidelines-use-ai-systems-courts-and-tribunals, 03.12.2025. 50 https://www.europarl.europa.eu/thinktank/en/document/EPRS_ATA(2025)779238, 03.12.2025. 51 https://fra.europa.eu/en/publication/2025/assessing-high-risk-ai, 04.12.2025. 52 https://www.digital.gov.au/ai/impact-assessment-tool#:~:text=About%20the%20AI%20impact%20assessment,against%20 Australia's%20AI%20Ethics%20Principles., 01.12.2025. 53 https://www.oaic.gov.au/news/blog/GenAI-tools-in-the-workplace-balancing-protection-of-personal-information-and- business-efficiency, 04.12.2025. 54 https://www.unicef.org/innocenti/media/11991/file/UNICEF-Innocenti-Guidance-on-AI-and-Children-3-2025.pdf, Aralık 2025. » ÖNE ÇIKAN GELİŞMELER 25 24 » KVKK Bülten

Çocuklara yönelik şeffaflığı, açıklanabilirliği ve hesap verebilirliği sağlamak, Sorumlu yapay zekâ uygulamaları yoluyla insan ve çocuk haklarına saygı göstermek, Çocukların üstün yararını, gelişimini ve refahını desteklemek, Çocukların kapsanmasını sağlamak ve çocuklar için kapsayıcı olmak, Çocukları yapay zekâdaki mevcut ve gelecekteki gelişmelere hazırlamak ve güçlendirmek, Çocuk merkezli yapay zekâ için elverişli bir ortam oluşturmak. Dünya Bankası Grubu tarafından yayımlanan “Dijital İlerleme ve Trendler Raporu 2025: Yapay Zekâ Temellerinin Güçlendirilmesi” çalışmasında, düşük ve orta gelirli ülkelerin, kapsayıcı ve sürdürülebilir kalkınmayı sağlamak için yapay zekâdan nasıl faydalanabilecekleri incelenmektedir55. Bu kapsamda yapay zekânın benimsenmesi, uyum sağlanması ve inovasyon süreçlerinde temel nitelikte olan bağlantı (altyapı), hesaplama (işlem gücü), bağlam (eğitim verileri, algoritmalar ve uygulamalar) ile yetkinlik (dijital beceriler) unsurları ele alınmaktadır. Dünya Ekonomik Forumu, yapay zekâ çağında gerçek rekabet avantajının teknolojik kapasiteden ziyade “insan olmak”tan geçtiğini vurgulayan bir çalışma yayımladı56. Bahse konu çalışmada, bir dönem “yumuşak” beceriler olarak nitelendirilen insan merkezli yetkinliklerin bireylerin, kuruluşların ve toplumların değişime uyum sağlamasını mümkün kılan ve dönüşüme liderlik etmelerini destekleyen temel beceriler hâline geldiği belirtilmektedir. Raporda ayrıca, teknolojinin verimliliği destekleyen bir araç olarak önemli bir rol oynadığı kabul edilmekle birlikte yenilikçiliği, iş birliğini ve uzun vadeli üretkenliği esas olarak insan merkezli becerilerin yönlendirdiği ifade edilmektedir. 55 https://openknowledge.worldbank.org/entities/publication/8f5d2cb9-92d4-42fd-a4ad-fa538f081488, 24.11.2025. 56 https://www.weforum.org/publications/new-economy-skills-unlocking-the-human-advantage/, 03.12.2025. » ÖNE ÇIKAN GELİŞMELER 27 26 » KVKK Bülten -- 14 of 25 -- » BİZDEN HABERLER

55 https://openknowledge.worldbank.org/entities/publication/8f5d2cb9-92d4-42fd-a4ad-fa538f081488, 24.11.2025. 56 https://www.weforum.org/publications/new-economy-skills-unlocking-the-human-advantage/, 03.12.2025. » ÖNE ÇIKAN GELİŞMELER 27 26 » KVKK Bülten -- 14 of 25 -- » BİZDEN HABERLER MAHREMİYET HAKKI VE KİŞİSEL VERİLERİN KORUNMASI SEMPOZYUMU Kurumumuz tarafından “10 Aralık Dünya İnsan Hakları Günü” vesilesiyle düzenlenen “Mahremiyet Hakkı ve Kişisel Verilerin Korunması Sempozyumu”, Kurumumuz konferans salonunda gerçekleştirildi. Kamu kurum ve kuruluşlarının temsilcileri başta olmak üzere çok sayıda katılımcının yer aldığı sempozyumda, temel bir hak olan mahremiyet ve kişisel verilerin korunmasını isteme hakkı ile ilgili konular ele alındı. Sempozyumun açılış konuşmasını yapan Kurum Başkanımız Prof. Dr. Faruk BİLİR, insan haklarının dijital mecralarda ve algoritmaların kararlarında da korunmasının son derece önemli olduğuna işaret ederek, “İnsan hakları dijital dünyanın görünmez katmanlarında da korunmalıdır.” dedi. Kurumumuz, Bilkent Üniversitesi Hukuk Fakültesi ve Veri Koruma Derneği iş birliğiyle düzenlenen “Veri, Yapay Zekâ ve Hukuk: Sınırlar, Riskler, Uygulamalar” etkinliği, Bilkent Üniversitesi’nde gerçekleştirildi. Hukuk, teknoloji ve akademi dünyasından uzman isimlerin bir araya geldiği etkinlikte; yapay zekânın hukuki ve etik boyutları ile veri koruma ve mahremiyet konuları ele alındı. Etkinlikte, hızla gelişen yapay zekâ teknolojilerinin meydana getirdiği fırsat ve riskler ile bu alandaki güncel gelişmeler çok yönlü bir şekilde değerlendirildi. VERİ, YAPAY ZEKÂ VE HUKUK ETKİNLİĞİ 29 28 » KVKK Bülten -- 15 of 25 --

zekâ teknolojilerinin meydana getirdiği fırsat ve riskler ile bu alandaki güncel gelişmeler çok yönlü bir şekilde değerlendirildi. VERİ, YAPAY ZEKÂ VE HUKUK ETKİNLİĞİ 29 28 » KVKK Bülten -- 15 of 25 -- » BİZDEN HABERLER SİBER GÜVENLİK VE KİŞİSEL VERİLERİN KORUNMASI ETKİNLİĞİ Anadolu Bilişim Buluşmaları kapsamında “Geleceğin Dijital Kalkanı: Siber Güvenlik ve Kişisel Verilerin Korunması” etkinliği, kamu ve özel sektör temsilcileri, uzmanlar ve akademisyenlerin katılımıyla Kurumumuz ev sahipliğinde gerçekleştirildi. Etkinlik kapsamında yeni teknolojilerin getirdiği fırsatlar ve riskler, siber güvenlik ve kişisel verilerin korunması perspektifinde uzman kişiler tarafından değerlendirildi. İSTANBUL PRIVACY SUMMIT 2025 Kurum Başkanımız Prof. Dr. Faruk BİLİR, "Küresel Trendler, Kıtalararası İş Birliği: Yapay Zekâ, Veri ve Siber Güvenlik Düzenlemeleri" temasıyla düzenlenen İstanbul Privacy Summit 2025 zirvesine katılım sağladı. Zirvenin açılış konuşmasını yapan BİLİR, “Yapay zekâyı nasıl yöneteceğimiz, sağladığı kolaylıklarla birlikte gelen riskleri nasıl dengeleyeceğimiz ve insan olmanın değerlerini bu dönüşüm içinde nasıl koruyacağımız, önümüzdeki sürecin en temel meseleleri arasında yer almaktadır. Teknolojiyi insan haklarıyla uyumlu, topluma güven veren ve kapsayıcı bir biçimde hayata geçirmek, ancak hukuk sayesinde mümkündür.” değerlendirmesinde bulundu. 31 30 » KVKK Bülten -- 16 of 25 --

önümüzdeki sürecin en temel meseleleri arasında yer almaktadır. Teknolojiyi insan haklarıyla uyumlu, topluma güven veren ve kapsayıcı bir biçimde hayata geçirmek, ancak hukuk sayesinde mümkündür.” değerlendirmesinde bulundu. 31 30 » KVKK Bülten -- 16 of 25 -- » BİZDEN HABERLER Jandarma Genel Komutanlığı Beştepe Yerleşkesi Korgeneral Hulusi Sayın Konferans Salonu’nda Kişisel Verilerin Korunması Kanunu kapsamında kurumsal farkındalığı ve uygulama kapasitesini güçlendirmeye yönelik seminer düzenlendi. Jandarma Genel Komutan Yardımcısı Orgeneral Hüseyin KURTOĞLU’nun da katılım sağladığı etkinliğin açılış konuşmalarını Kurum Başkanımız Prof. Dr. Faruk BİLİR ile Jandarma Genel Komutanlığı Mali Hizmetler Başkanı Tuğgeneral Ümit KIZILCA gerçekleştirdi. JANDARMA GENEL KOMUTANLIĞI İLE KANUN HAKKINDA SEMİNER ESKİŞEHİR VALİLİĞİ İLE KANUN HAKKINDA FARKINDALIK SEMİNERİ Eskişehir Valiliği ile Kurumumuz iş birliğinde kişisel verilerin korunmasına ilişkin farkındalık semineri düzenlendi. Açılış konuşmalarını Eskişehir Valisi Hüseyin AKSOY ile Kurum Başkanımız Prof. Dr. Faruk BİLİR'in gerçekleştirdiği seminerde katılımcılara Kişisel Verilerin Korunması Kanunu’nun temel ilkeleri, veri işleme şartları, ilgili kişilerin hakları ve veri sorumlusunun yükümlülükleri konularında bilgilendirme sağlandı. 33 32 » KVKK Bülten -- 17 of 25 --

BİLİR'in gerçekleştirdiği seminerde katılımcılara Kişisel Verilerin Korunması Kanunu’nun temel ilkeleri, veri işleme şartları, ilgili kişilerin hakları ve veri sorumlusunun yükümlülükleri konularında bilgilendirme sağlandı. 33 32 » KVKK Bülten -- 17 of 25 -- » BİZDEN HABERLER Düzce Üniversitesi Hukuk Topluluğu tarafından düzenlenen “Kişisel Verilerin Korunması” temalı sergi açılışı ve konferans programı Cumhuriyet Konferans Salonu’nda gerçekleştirildi. Düzce Valisi Selçuk ASLAN ve Düzce Üniversitesi Rektörü Prof. Dr. Nedim SÖZBİR'in katılım sağladığı etkinlikte, Kurum Başkanımız Prof. Dr. Faruk BİLİR, akademik ve idari temsilciler ile öğrencileri kişisel verilerin korunması hukuku ve mahremiyet konularında bilgilendirdi. KİŞİSEL VERİLERİN KORUNMASI SERGİSİ VE KİŞİSEL VERİLERİN KORUNMASI KONFERANSI KAYMAKAM ADAYLARINA KANUN HAKKINDA SEMİNER Kurum Başkanımız Prof. Dr. Faruk BİLİR, İçişleri Bakanlığı Eğitim Dairesi Başkanlığınca düzenlenen 110. Dönem Kaymakamlık Kursu kapsamında, kaymakam adaylarına “6698 Sayılı Kişisel Verilerin Korunması Kanunu” hakkında seminer verdi. 35 34 » KVKK Bülten -- 18 of 25 --

Kurum Başkanımız Prof. Dr. Faruk BİLİR, İçişleri Bakanlığı Eğitim Dairesi Başkanlığınca düzenlenen 110. Dönem Kaymakamlık Kursu kapsamında, kaymakam adaylarına “6698 Sayılı Kişisel Verilerin Korunması Kanunu” hakkında seminer verdi. 35 34 » KVKK Bülten -- 18 of 25 -- » BİZDEN HABERLER Kurumumuz ile Türkiye Adalet Akademisi tarafından, hakimlere yönelik olarak seminer düzenlendi. Seminer kapsamında; "Kişisel Verileri Koruma Kurulu Kararlarının İdari Yargı Bakımından Değerlendirilmesi", "Kişisel Verileri Koruma Kurulunun İnceleme Süreçleri" ve "Düzenleyici ve Denetleyici Kuruluş Kararlarının Kişisel Verileri Koruma Kurulu Özelinde Bireysel Başvuru Yönünden Değerlendirilmesi" konuları ele alındı. Sinop Barosu ile Kurumumuz iş birliğinde kişisel verilerin korunması etkinliği düzenlendi. Hukukçuların ve kamu kurumu temsilcilerinin katıldığı etkinlikte Kişisel Verilerin Korunması Kanunu ve uygulanması, ilgili kişilerin hakları, kişisel verilerin korunmasını isteme hakkı bağlamında avukatların rolü ve Türk Ceza Kanunu kapsamında kişisel verilerin korunması konuları ele alındı. DÜZENLEYİCİ VE DENETLEYİCİ KURULUŞ KARARLARININ KİŞİSEL VERİLERİ KORUMA KURULU ÖZELİNDE DEĞERLENDİRİLMESİ SEMİNERİ SİNOP BAROSU İLE KİŞİSEL VERİLERİN KORUNMASI ETKİNLİĞİ ADALET TEŞKİLATINI GÜÇLENDİRME VAKFI PERSONELİNE KANUN HAKKINDA SEMİNER Adalet Teşkilatını Güçlendirme Vakfı personeline yönelik Kişisel Verilerin Korunması Kanunu hakkında seminer verildi. Seminer kapsamında Kanun’un temel ilkeleri, veri işleme şartları, aydınlatma yükümlülüğü, veri güvenliği tedbirleri, saklama ve imha politikaları, kişisel veri ihlali bildirim süreçleri ile ilgili bilgilendirme sağlandı. 37 36 » KVKK Bülten -- 19 of 25 --

seminer verildi. Seminer kapsamında Kanun’un temel ilkeleri, veri işleme şartları, aydınlatma yükümlülüğü, veri güvenliği tedbirleri, saklama ve imha politikaları, kişisel veri ihlali bildirim süreçleri ile ilgili bilgilendirme sağlandı. 37 36 » KVKK Bülten -- 19 of 25 -- » BİZDEN HABERLER Kurumumuz ve Ankara Tüm Emlakçılar Meslek Esnaf Odası iş birliği ile Kişisel Verilerin Korunması Kanunu ve uygulanması hakkında seminer düzenlendi. Kurum Başkanımız Prof. Dr. Faruk BİLİR'in açılış konuşmasıyla başlayan seminerde; “6698 sayılı Kişisel Verilerin Korunması Kanunu Kapsamında Veri Sorumlularının Yükümlülükleri” ve “Kişisel Verilerin İşlenmesinde Veri Güvenliğine İlişkin Yükümlülükler” konuları ele alındı. Emlak sektöründe 6698 sayılı Kanun uygulamalarına ilişkin değerlendirmelerin de paylaşıldığı seminer, katılımcılardan gelen soruların cevaplandırılmasıyla sona erdi. Kamuoyunu kişisel verilerin korunması mevzuatı hakkında bilgilendirmeye yönelik olarak akademisyenlerin, Kurum personelinin veya diğer kurum ve kuruluşlarda görev yapan ve alanında uzman olan kişilerin katılımıyla düzenlenen “Çarşamba Seminerleri” devam ediyor. Bu kapsamda; Kişisel Verilere İlişkin Cezai Sonuç Doğurabilecek Yapay Zekâ Tabanlı İşlem ve Faaliyetler Kişisel Verilerin Korunmasında Veri Koruma Etki Değerlendirmesi Yapay Zekâ Sistemlerinde Silme Hakkının Uygulanması Asya Pasifik Bölgesinde Kişisel Verilerin Korunması Gözetim Teknolojilerinde Kişisel Verilerin Korunması Mahremiyet Artırıcı Teknolojilerin Veri Koruma Hukukuna Uygun Yapay Zekâ Ekosistemindeki Rolü Veri Mahremiyeti Artırıcı Teknolojiler: Federatif Öğrenme ve Uç Yapay Zekâ Yapay Zekâ ve Ceza Hukuku konuları, alanında uzman kişiler tarafından ele alınarak çeşitli bakış açılarıyla değerlendirildi. ANKARA TÜM EMLAKÇILAR MESLEK ESNAF ODASI İLE KANUN HAKKINDA SEMİNER ÇARŞAMBA SEMİNERLERİ 47. KÜRESEL MAHREMİYET ASAMBLESİ Güney Kore Veri Koruma Otoritesi’nin ev sahipliğinde düzenlenen 47. Küresel Mahremiyet Asamblesi, 15-19 Eylül 2025 tarihlerinde gerçekleştirildi. Kurumumuz temsilcilerinin de katılım sağladığı Asamble’nin ana temasını “Günlük Yaşamımızda Yapay Zekâ: Veri ve Mahremiyet” başlığı oluşturdu. 39 38 » KVKK Bülten

Eylül 2025 tarihlerinde gerçekleştirildi. Kurumumuz temsilcilerinin de katılım sağladığı Asamble’nin ana temasını “Günlük Yaşamımızda Yapay Zekâ: Veri ve Mahremiyet” başlığı oluşturdu. 39 38 » KVKK Bülten -- 20 of 25 -- » BİZDEN HABERLER Avrupa Veri Koruma Otoriteleri Bahar Konferansı’nın bir yan etkinliği olarak her yıl Kasım ayında düzenlenen Avrupa Vaka Çözümleme Çalıştayı, bu yıl 17-19 Kasım 2025 tarihlerinde Kosova’nın başkenti Priştine’de gerçekleştirildi. Kurumumuzca katılım sağlanan çalıştayda kamusal alanlarda akıllı kameralar ve biyometrik verilerin kullanımı, “deepfake” ve yapay zekâ ile üretilen içerikler, dijital platformlarda ve çevrim içi oyunlarda çocuklara ait kişisel veriler ve sağlık verilerinin işlenmesi konuları ele alındı. AVRUPA VAKA ÇÖZÜMLEME ÇALIŞTAYI HESSEN VERİ KORUMA OTORİTESİNE ZİYARET FAS VERİ KORUMA OTORİTESİNE ZİYARET Kurum Başkanımız Prof. Dr. Faruk Bilir ile beraberindeki heyet, Almanya Hessen Veri Koruma ve Bilgi Edinme Özgürlüğü Komiserliği Başkanı Prof. Dr. Alexander Roßnagel’e çalışma ziyaretinde bulundu. Veri Koruma Otoriteleri İslami Forumunun kurulması kapsamında İcra Kurulu toplantısı öncesi gelinen aşama ve gelecekte yapılacak çalışmalarla ilgili istişarelerde bulunmak üzere; Kurul İkinci Başkanı ve Kurul Üyesi Hasan AYDIN ile Kurul Üyesi Şaban BABA, Forumun Dönem Başkanlığını yürüten Fas Kişisel Verileri Koruma Otoritesini ziyaret etti. 41 40 » KVKK Bülten -- 21 of 25 --

Kişisel Verileri Koruma Kurulu İkinci Başkanı Hasan AYDIN, Karadeniz Teknik Üniversitesi Rektörü Prof. Dr. Hamdullah ÇUVALCI'yı ziyaret etti. Ziyarette yapay zekâ ve kişisel verilerin korunması alanında ortak yapılabilecek çalışmalar görüşüldü. KARADENİZ TEKNİK ÜNİVERSİTESİNE ZİYARET İLKE KARARI KAMUOYU DUYURUSU DUYURU Turizm ve otelcilik sektöründe konaklama hizmeti alan kişilerin T.C. kimlik belgesi fotokopisinin kaydedilmesi hakkında ilke kararı yayımlandı. Kararda, konaklama tesislerinin kimlik bildirimine ilişkin Kimlik Bildirme Kanunu ve Kimlik Bildirme Kanununun Uygulanmasına Dair Yönetmelik kapsamında yasal yükümlülükleri gereği; misafir edilen kişilerin isim, soyisim ve T.C. kimlik numarası bilgilerinin kaydedilmesinin hukuka uygun olduğu vurgulandı. Bu kapsamda söz konusu veri işlemenin, 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde “kanunlarda açıkça öngörülmesi” ve “hukuki yükümlülüğün yerine getirilmesi için zorunlu olması” şartlarına dayandığı belirtildi. Bununla birlikte, kimlik bilgilerini doğrulamak amacıyla kimlik belgesinin ibraz edilmesinin yeterli olduğu, bunun ötesine geçilerek kimlik fotokopisinin alınıp kayda geçirilmesinin hukuki dayanağının bulunmadığı ifade edildi. Bu çerçevede konaklama tesislerinin T.C. kimlik belgesi fotokopisi alma uygulamasına son vermesine, kararın yürürlüğe girmesinden önce alınmış fotokopilerin ise Kişisel Verilerin Korunması Kanunu’nun 7’nci maddesi uyarınca imha edilmesine karar verildi. Ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının VERBİS’e kayıt yükümlülüğüne ilişkin istisna kriteri hakkında kamuoyu duyurusu yayımlandı. Söz konusu duyuruda Kişisel Verileri Koruma Kurulu’nun 04.09.2025 tarih ve 2025/1572 sayılı Kararı ile; ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon Türk Lirasından az olan gerçek veya tüzel kişi veri sorumlularının da Sicile kayı

ana faaliyet konusu özel nitelikli kişisel veri işleme olmakla birlikte yıllık çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon Türk Lirasından az olan gerçek veya tüzel kişi veri sorumlularının da Sicile kayıt ve bildirim yükümlülüğünden istisna tutulmasına karar verildiği belirtildi. Uluslararası sözleşme niteliğinde olmayan anlaşma ile yurt dışına kişisel veri aktarımına izin verilmesi hakkında duyuru yayımlandı. Söz konusu duyuruda Kişisel Verilerin Korunması Kanunu’nun 9'uncu maddesinin dördüncü fıkrasının (a) bendi kapsamında; İçişleri Bakanlığı Göç İdaresi Başkanlığı ile Birleşmiş Milletler Mülteciler Yüksek Komiserliği arasında kişisel verilerin yurt dışına aktarılmasına dayanak teşkil edecek “uluslararası sözleşme niteliğinde olmayan anlaşma”, Kişisel Verileri Koruma Kurulu tarafından Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 11'inci maddesi kapsamında değerlendirildiği ve söz konusu aktarıma 21.10.2025 tarihinde izin verildiği bilgisi paylaşıldı. 43 42 » KVKK Bülten

» BİZDEN HABERLER Üretken yapay zekâ sistemlerinin kişisel verilerin korunması bağlamındaki etkilerinin değerlendirilmesi, bu sistemlerin geliştirilmesi ile kullanılmasında bireylerin mahremiyetine saygılı bir yaklaşımın teşvik edilmesi ve yaşam döngüsü boyunca gerçekleştirilen kişisel veri işleme faaliyetleri bakımından veri sorumlusu niteliğini haiz aktörlere yol gösterilmesi amacıyla “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi (15 Soruda)” yayımlandı. Rehber’de; üretken yapay zekâ sistemlerinin içerik üretim süreci, yaşam döngüsü, kullanım alanları ve kullanımının doğurabileceği risklere ilişkin temel hususlar ele alındı. Ayrıca bu sistemler aracılığıyla gerçekleştirilen kişisel veri işleme faaliyetleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde değerlendirildi. Öte yandan günlük hayatta üretken yapay zekâ uygulamalarından yararlanırken kişisel verilerin korunması açısından bireylerin dikkat etmesi gereken hususlara ve bu teknolojileri kullanan çocuklara yönelik olarak ebeveynler tarafından alınabilecek önlemlere ilişkin değerlendirmelere yer verildi. ÜRETKEN YAPAY ZEKÂ VE KİŞİSEL VERİLERİN KORUNMASI REHBERİ SORULARLA VERBİS VE VERBİS KILAVUZU 8. YILINDA KİŞİSEL VERİLERİ KORUMA KURUMU Veri sorumlularının Kişisel Verilerin Korunması Kanunu’nun 16’ncı maddesi uyarınca Sicile kayıt ve bildirim yükümlülüğünün yerine getirilmesi hususunda faydalanmaları amacıyla yayımlanan Sorularla VERBİS ve VERBİS Kılavuzu, VERBİS ekranlarında veri sorumlularının sisteme kayıt ve bildirim süreçlerini kolaylaştırmak amacıyla yapılan değişiklikler göz önünde bulundurularak güncellendi. Kurumumuzun kurulduğu günden bu yana kişisel verilerin korunması alanında yaptığı çalışmalara kaynak sunması amacıyla “8.Yılında Kişisel Verileri Koruma Kurumu” isimli çalışma yayımlandı. 45 44 » KVKK Bülten -- 23 of 25 --

Kurumumuzun kurulduğu günden bu yana kişisel verilerin korunması alanında yaptığı çalışmalara kaynak sunması amacıyla “8.Yılında Kişisel Verileri Koruma Kurumu” isimli çalışma yayımlandı. 45 44 » KVKK Bülten -- 23 of 25 -- » BİZDEN HABERLER Kişisel Verileri Koruma Dergisi’nin on dördüncü sayısı yayımlandı. Ülke Dışı Etki Prensibi: GDPR Üzerinden Bir İnceleme The Transformation of Digital Privacy: A Child Rights Perspective on EU and Türkiye’s Regulatory Frameworks and Recent Developments İkiz Dönüşümün Işığında Veri Güvenliği: Yeşil ve Dijital Dönüşümde Artan Veri Yükü ve Mahremiyet Riskleri Mahremiyet Artırıcı Teknolojiler, Gizlilikten Ödün Vermeden Yapay Zekâ Teknolojisinin Gelişimini ve Kullanımını Nasıl Teşvik Edebilir? Türkiye İçin Bir Politika Önerisi başlıklı makaleler ilgililerin kullanımına sunuldu. KİŞİSEL VERİLERİ KORUMA DERGİSİ SİBER GÜVENLİK FARKINDALIK AYI Kurumumuz sosyal ağ hesapları aracılığıyla, dünya genelinde "Siber Güvenlik Farkındalık Ayı" olarak kabul edilen Ekim ayında; şirket, kurum ve kuruluşların siber güvenliklerini güçlendirmelerine yardımcı olmaya yönelik birtakım tavsiyeler paylaşıldı. Bu kapsamda güçlü parola kullanımı, çok faktörlü kimlik doğrulama uygulaması, e-posta güvenliği ve yetkisiz erişimin önüne geçilmesi ile kişisel veri farkındalığı gibi hususlarda çeşitli bilgiler paylaşıldı. 47 46 » KVKK Bülten -- 24 of 25 -- -- 25 of 25 --