Madde 9 — veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.
[DEĞİŞİKLİKTEN SONRA]
17 16
» KVKK Bülten
-- 9 of 22 --
» KANUNDA YAPILAN DEĞİŞİKLİKLER HAKKINDA BİLİNMESİ GEREKENLER
6698 sayılı Kişisel Verilerin Korunması Kanunu hazırlanırken, kişisel verilerin korunmasında
Avrupa ülkeleri arasında uygulama birliğini sağlayan “95/46/EC Sayılı Avrupa Birliği Veri Koruma
Direktifi” esas alınmıştır. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 2016 yılında
yürürlüğe girmesinden iki yıl sonra söz konusu “Direktif” yürürlükten kaldırılmış, kısa adıyla
“GDPR” olarak anılan ve kişisel verilerin korunması bakımından geniş kapsamlı düzenlemeler
içeren “Avrupa Birliği Genel Veri Koruma Tüzüğü” devreye alınmıştır.
Ülkemizde 2021 yılında açıklanan “İnsan Hakları Eylem Planı” ve diğer eylem planları çerçevesinde
KVKK-GDPR uyumunun hedeflenmesi ve diğer taraftan uygulamada ortaya çıkan ihtiyaçlar
neticesinde; Kanun’un özel nitelikli kişisel verilerin işlenme şartlarını, yurt dışına kişisel veri
aktarımını ve kişisel verilerin korunmasına ilişkin kabahatleri düzenleyen ilgili hükümlerde
değişiklikler yapılmıştır.
Kanun’un yurt dışına kişisel veri aktarımını düzenleyen 9'uncu maddesi, Avrupa Birliği Genel Veri
Koruma Tüzüğü'nün (GDPR) ilgili hükümleri esas alınarak değiştirilmiştir. Değişiklik yapılırken genel
olarak teknoloji ve buna bağlı olarak dijitalleşme ile şekillenen veri temelli hayatın meydana getirdiği
gereksinimler dikkate alınmıştır. Bu doğrultuda, verisi işlenen kişilerin haklarını da koruyacak
şekilde, kişisel verilerin yurt dışına aktarılmasında yeni yöntemler öngörülmüştür.
Kanun’un 6'ncı maddesinde; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi
veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel
veri olarak sayılmaktadır. Yeni düzenlemede herhangi bir ekleme ya da çıkarma yapılmamıştır. Özel
nitelikli kişisel veriler aynı şekilde yeni düzenlemede de yer almaktadır.
Ayrıca özel nitelikli veriler önceki düzenlemede olduğu gibi, yeni düzenlemede de gelişigüzel ve keyfi
bir biçimde işlenemeyecektir. Zira özel nitelikli kişisel verilerin işlenmesinin genel kural olarak yasak
olduğuna ilişkin hüküm korunmaktadır.
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI
KANUNUNDA YAPILAN DEĞİŞİKLİKLER HAKKINDA
BİLİNMESİ GEREKENLER
Değişikliğin amacı uygulamada ortaya çıkan
ihtiyaçları karşılamaktır Özel nitelikli kişisel veriler korunmaya devam edecektir
Yurt dışına kişisel veri aktarımında ilgili kişilerin hakları
korunmaya devam edecektir
19 18
» KVKK Bülten
-- 10 of 22 --
» AYDINLATMA YÜKÜMLÜLÜĞÜNÜN YERİNE GETİRİLMESİ HAKKINDA GENEL BİLGİLER
AYDINLATMA YÜKÜMLÜLÜĞÜNÜN
YERİNE GETİRİLMESİ HAKKINDA
GENEL BİLGİLER
Kişisel verilerin işlenmesinin hukuka uygun
şekilde gerçekleştirilebilmesini temin
etmek için Kişisel Verilerin Korunması
Kanunu’nda sayılan işleme şartlarından
birine dayanılması aranmakta ve kişisel veri
işlenen durumlarda, hangi işleme şartına
dayanıldığından bağımsız olarak, veri
sorumlusunun aydınlatma yükümlülüğünün
düzenlendiği Kanun’un 10’uncu maddesine
riayet edilmesi gerekmektedir.
Aydınlatma yükümlülüğü, veri sorumluları
için bir yükümlülük olmakla birlikte, kişisel
verisi işlenen gerçek kişiler için de bir hak
olarak karşımıza çıkmaktadır. İşlenen
kişisel verileri ile ilgili olarak kişilerin
bilgilendirilmesini ifade eden aydınlatma
yükümlülüğü, kişisel veri işlemenin hukuka
uygun şekilde yerine getirilmesi için olmazsa
olmaz bir şart niteliği taşımaktadır.
Bu kapsamda veri sorumlusunun
aydınlatma yükümlülüğü, Kanun’da yapılan
değişikliklerden etkilenmemiş olup Kanun’un
10’uncu maddesindeki mevcut düzenleme
geçerliliğini korumaktadır.
Aydınlatma yükümlülüğü kapsamında
yapılacak bilgilendirmenin asgari olarak,
Kanun’un 10’uncu maddesinde yer alan
“veri sorumlusunun ve varsa temsilcisinin
kimliği, kişisel verilerin hangi amaçla
işleneceği, işlenen kişisel verilerin kimlere
ve hangi amaçla aktarılabileceği, kişisel
veri toplamanın yöntemi ve hukuki sebebi
ile Kanunun 11’inci maddesinde sayılan
ilgili kişi hakları” hususlarını içermesi
gerekmektedir.
» Aydınlatma yükümlülüğü yerine
getirilirken açıklanacak olan kişisel
veri işleme amacının, işleme faaliyeti
ile sınırlı, belirli, açık ve meşru olması
gerekmektedir. Gelecekte gündeme
gelmesi muhtemel başka amaçlar için
kişisel verilerin işlenebileceği kanaatini
uyandıran ifadeler kullanılmamalıdır.
» Aydınlatma yükümlülüğü yerine
getirilirken kullanılacak metinlerde
anlaşılır, açık ve sade bir dil
kullanılmalıdır. Ayrıca genel nitelikte,
muğlak, eksik, yanıltıcı ve yanlış bilgilere
yer verilmemelidir.
» Aydınlatmanın kolayca erişilebilir
ve fark edilebilir olmasına dikkat
edilmeli, ilgili kişilerin aydınlatmaya
erişimini zorlaştıracak yöntemler
kullanılmamalıdır.
» Katmanlı aydınlatma yöntemi tercih
ediliyorsa, ilgili kişilerin ayrıntılı bilgi için
başka bir mecraya yönlendirilmesinden
önce, ilk aşamada temel bilgilerin
(örneğin veri sorumlusunun kimliği ve
veri işlemenin amacı) sunulduğundan
emin olunmalı, yönlendirilen metinlerin
işleme faaliyeti ile sınırlı içeriğe sahip
olduğuna dikkat edilmelidir.
7/24
21
» KVKK Bülten
20
-- 11 of 22 --
» DOĞRU BİLİNEN YANLIŞLAR
6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA
“AYDINLATMA YÜKÜMLÜLÜĞÜ” İLE İLGİLİ
DOĞRUBİLİNEN
YANLIŞLAR
Aydınlatma yükümlülüğünün yazılı olarak yerine getirilmesi
zorunlu mudur?
Genel veri işleme belgesi niteliğinde olan gizlilik politikası veya
kişisel veri işleme politikalarının hazırlanması, aydınlatma
yükümlülüğünün yerine getirildiği anlamına gelir mi?
Gizlilik politikaları veya kişisel veri işleme politikaları genellikle işleme faaliyeti
ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi niteliğinde
dokümanlardır.
İşleme faaliyeti ile sınırlı olmayan, veri sorumlusu için genel veri işleme belgesi
niteliğinde olan gizlilik politikaları veya veri işleme politikaları, aydınlatma
metinleri olarak kullanılmamalıdır.
Aydınlatma yükümlülüğü, her durumda veri sorumlusu
tarafından mı yerine getirilmelidir?
Kanuna göre, aydınlatma yükümlülüğü kişisel verilerin elde edilmesi sırasında
veri sorumlusu veya veri sorumlusunun yetkilendirdiği kişi tarafından yerine
getirilmelidir.
Dolayısıyla, veri sorumlusunun yetkilendirmesi hâlinde, veri işleyenin de veri
sorumlusu adına, aydınlatma yükümlülüğünü yerine getirmesi mümkündür.
Aydınlatma yükümlülüğünün yerine getirilmesi herhangi bir şekil şartına tâbi
olmayıp bu yükümlülüğün veri sorumlusu ya da yetkilendirdiği kişi tarafından
sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam
kullanılmak suretiyle yerine getirilebilmesi mümkündür.
Ancak aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri
sorumlusuna aittir.
Aydınlatma metninde kişisel veri işleme faaliyetine ilişkin
hukuki sebebe yer verilmesi işleme amacının da gösterildiği
anlamına gelir mi?
İşleme faaliyetine ilişkin dayanak olarak gösterilen hukuki sebep, işleme
amacından farklıdır.
Aydınlatma yükümlülüğü yerine getirilirken, veri sorumlusu tarafından kişisel
verilerin işlenmesine yönelik olarak açıklanması gereken hukuki sebepten
kastedilen; kişisel verilerin Kanunun 5. ve 6. maddelerinde belirtilen işleme
şartlarından hangisine dayanılarak işlendiğidir.
İşleme amacı ise kişisel veri işleme faaliyetinin veri sorumlusu tarafından hangi
amaçla gerçekleştirildiğine ilişkin olup faaliyet bazlı belirlenmesi
gerekmektedir.
23 22
» KVKK Bülten
-- 12 of 22 --
» ÖNE ÇIKAN GELİŞMELER
» Avrupa Komisyonu, Avrupa Yapay Zekâ
Ofisi kurulmasına ilişkin 24.01.2024
tarihli kararını yayımladı1. Bahse
konu Karar’da, Komisyon bünyesinde
kurulması öngörülen Yapay Zekâ
Ofisi’nin görevleri arasında; (1) genel
amaçlı yapay zekâ modellerinin, özellikle
de sistemik riskleri olan çok büyük
genel amaçlı yapay zekâ modellerinin,
yeteneklerini değerlendirmek için
araçlar, metodolojiler ve kriterler
geliştirilmesi, (2) özellikle modelin
ve sistemin aynı sağlayıcı tarafından
geliştirildiği durumlarda, genel amaçlı
1 https://digital-strategy.ec.europa.eu/en/library/commission-decision-establishing-european-ai-office,
24.01.2024.
yapay zekâ modelleri ve sistemlerine
ilişkin kuralların uygulanmasının
izlenmesi, (3) bilimsel panelden
gelen uyarılara yanıt vermek de dâhil
olmak üzere, genel amaçlı yapay
zekâ modellerinden kaynaklanan
öngörülemeyen risklerin ortaya
çıkmasının izlenmesi, (4) genel amaçlı
yapay zekâ modelleri ve sistemlerine
ilişkin olası kural ihlallerinin
araştırılması, (5) yasaklanmış yapay
zekâ uygulamaları ve yüksek riskli yapay
zekâ sistemlerine ilişkin kuralların
sektörel düzenlemeler kapsamında
sorumlu olan ilgili kurumlarla koordineli
şekilde uygulanmasının desteklenmesi sayıldı.
» İtalya Veri Koruma Otoritesi (Garante), fitness
takip cihazları ve uygulamalarında kişisel
verilerin korunmasına yönelik olarak yol
gösterici mahiyette bir içerik yayımladı2.
Bu çerçevede söz konusu içerikte; (1)
Kullanıcıların hangi kişisel verilerinin
toplanacağı/bunların nasıl kullanılacağı/ne
kadar süre ile saklanacağı vb. gibi hususlara
yönelik yapılan bilgilendirmenin dikkatli
bir şekilde incelenmesi, (2) Cihazın veya
uygulamanın normal fonksiyonlarını yerine
getirmesi için işlenmesine gerek bulunmayan
verilerin paylaşılmasından kaçınılması, (3)
Cihazın veya uygulamanın çalışması için
diğer cihazlara bağlantı sağlanmasının
gerekli olmadığı durumlarda bu şekilde
bağlantılara izin verilmemesi, (4) Kişisel
veri güvenliğinin sağlanmasına (karmaşık
ve güvenli şifreler belirlenmesi, uygulamaya
yönelik güncellemelerin takip edilmesi, çok
faktörlü kimlik doğrulamanın etkinleştirilmesi,
kullanıcının olası kişisel veri ihlallerinden
korunmasına yardımcı olabilecek bir antivirüs
yazılımı yüklenmesi, uygulamanın resmi
internet siteleri ve uygulama marketleri
üzerinden indirilmesi vb.) dikkat edilmesi, (5)
Cihazda veya uygulamada bulunan verilerin
periyodik aralıklarla silinmesi, (6) Genel
olarak spor performansı izleme cihazlarının
ve uygulamalarının bir yetişkinin gözetiminde
olmadığı sürece çocuklar tarafından
kullanılmasından kaçınılması, (7) Fayda
sağlanmadığı durumlarda cihazın kapatılması,
(8) Cihazın satılması veya başkasına verilmesi
gibi durumlarda cihaz ile ilişkilendirilen kişisel
hesabın devre dışı bırakılması ve cihazda/
uygulamada kayıtlı olan tüm verilerin silinmesi
2 https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9969790, 08.01.2024.t
3 https://iapp.org/news/a/cnil-releases-cloud-computing-practical-sheets/, 23.01.2024. Otorite tarafından yayımlanan içerik
için bkz. https://www.cnil.fr/fr/informatique-en-nuage-cloud-la-cnil-publie-deux-fiches-pratiques-sur-le-chiffrement-et-
la-securite, 22.01.2024.
4 https://www.ftc.gov/business-guidance/blog/2024/01/dna-privacy-privacy-dna, 05.01.2024.
5 https://committees.parliament.uk/committee/170/communications-and-digital-committee/news/199728/uk-will-miss-ai-
goldrush-unless-government-adopts-a-more-positive-vision/, 02.02.2024.
yönünde tavsiyelerde bulunulmaktadır.
» Fransa Veri Koruma Otoritesi (CNIL), bulut
bilişimde veri şifreleme ve güvenliğin
sağlanmasına ilişkin olarak yol gösterici
mahiyette iki adet doküman yayımladı3. Bu
dokümanlarda, uçtan uca şifreleme dâhil olmak
üzere veri şifreleme yöntemleri ve bulutta
verilerin güvenliğinin sağlanmasının önemine
yönelik analizler gerçekleştirilmektedir.
» ABD Federal Ticaret Komisyonu (FTC),
“Mahremiyetin DNA’sı ve DNA’nın Mahremiyeti”
başlıklı bir blog yazısı ile bireylerin DNA
verilerinin güvenli bir şekilde saklanmasına
yönelik olarak yol gösterici mahiyette önerilerde
bulundu4. DNA test kiti sunan şirketlerin, DNA
verilerinin hassas doğası nedeniyle sağlam veri
güvenliği sistemlerine sahip olmalarını tavsiye
eden Otorite, testlerin doğruluğunu abartmak
ve müşteri verilerinin satışı için rıza almaya
yönelik aldatıcı girişimler dahil olmak üzere
DNA testi firmalarının incelenebileceği alanları
da belirledi.
» Birleşik Krallık Lordlar Kamarası bünyesinde
faaliyet gösteren İletişim ve Dijital
Komitesi “Büyük Dil Modelleri ve Üretici
Yapay Zekâ” başlıklı bir çalışma yayımladı5.
Büyük dil modellerinin internetin icadı
ile karşılaştırılabilecek ölçüde çığır açıcı
değişiklikler yaratacağı öngörülen raporda;
“büyük dil modeli” kavramına yönelik
temel hususlar, farklı model ve yaklaşım
türleri, düzenleyici çerçeve, bu modellerin
kullanımının kuruluşlar/çalışanlar/toplum
açısından sağlayabileceği faydalar ile
ortaya çıkarabileceği riskler gibi konular ele
alınmaktadır.
» Danimarka Veri Koruma Otoritesi (Datatilsynet),
REHBER, ÇALIŞMA VE DÜZENLEYİCİ İŞLEMLER
25
» KVKK Bülten
24
-- 13 of 22 --
» ÖNE ÇIKAN GELİŞMELER
gündelik hayatta yaygın şekilde karşılaşılan
veri ihlali senaryolarının değerlendirildiği bir
içerik yayımladı6 . On adet yaygın veri ihlali
senaryosu üzerinden, bu ihlallerin nasıl ele
alınabileceğine ilişkin tavsiyelerde bulunulan
bu çalışmada; dijital araçlardaki verilerin
silinememesi, şifrelenmemiş veri içeren
cihazların kaybı, otomatik olarak doldurulan
formlara güvenilmesi nedeniyle e-postaların
yanlış kişilere gönderilmesi, ağ sürücüleri
üzerindeki verilere geniş çaplı erişim
sağlanması, kötü amaçlı yazılımın verilerin
kaybolmasına ve kötüye kullanılmasına neden
olması gibi durumlar incelenmektedir.
» ABD Ulusal Standartlar ve Teknoloji Enstitüsü
(NIST), yapay zekâ sistemlerinin davranışını
manipüle eden siber saldırı türlerinin
belirlendiği ve bu saldırıların azaltılmasına
yönelik yaklaşımların incelendiği bir çalışma
yayımladı7.
» Birleşik Krallık Baro Konseyi, ChatGPT veya
büyük dil modellerine dayalı diğer üretici yapay
zekâ yazılımlarını kullanırken avukatların
dikkat etmeleri gereken hususlara yönelik
olarak yol gösterici mahiyette bir rehber
yayımladı8. Yasal hizmetlerin sunulması
sürecinde güvenilir yapay zekâ araçlarının
kullanılması doğası gereği uygunsuz bir
faaliyet olmamakla birlikte bu araçların
doğru ve sorumlu bir şekilde kullanılmasına
vurgu yapılan rehberde; halüsinasyonlar, bilgi
yanlışlıkları, eğitim verisindeki ön yargılar,
hatalar ve gizli nitelikli bilgelerin bu sistemlere
yüklenmesi de dâhil olmak üzere büyük dil
modellerinin kullanımı ile ilişkili temel riskler
ortaya konulmaktadır.Diğer yandan bahse
6 https://iapp.org/news/a/danish-dpa-advises-on-10-common-data-breach-scenarios/, 08.01.2024. Otorite tarafından
yayımlanan içerik için bkz. https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/de-10-brud,
08.01.2024.
7 https://www.nist.gov/news-events/news/2024/01/nist-identifies-types-cyberattacks-manipulate-behavior-ai-systems,
04.01.2024.
8 https://www.barcouncil.org.uk/resource/new-guidance-on-generative-ai-for-the-bar.html, 30.01.2024.
9 https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/03/ico-publishes-new-fining-guidance/,
18.03.2024.
10 https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)698792, 11.03.2024.
konu Rehber’de (1) Olası halüsinasyonlar
ve ön yargılar nedeniyle, büyük dil modelleri
yazılımlarının çıktılarının doğrulaması ve
oluşturulan çıktıları kontrol etmek için uygun
prosedürlerin uygulanması, (2) Büyük dil
modellerinin mesleki muhakemenin, üstün
düzeyde hukuki analizin ve uzmanlığın yerine
geçmemesi, (3) Özel nitelikli/gizli bilgilerin
büyük dil modeli sistemleri ile paylaşılmaması,
(4) Büyük dil modelleri tarafından oluşturulan
içeriğin fikri mülkiyet haklarını ihlal edip
etmediğinin değerlendirilmesi, (5) Tarafların
dava materyallerini hazırlamalarında üretici
yapay zekâdan faydalanıp faydalanmadıklarını
açıklamalarını gerektirebilecek medeni usul
hukuku kurallarına riayet edilmesi yönünde
tavsiyelerde bulunulmaktadır.
» Birleşik Krallık Veri Koruma Otoritesi (ICO),
kuruluşlara ceza uygulanıp uygulanmayacağı
ve uygulanacak idari para cezalarının
nasıl hesaplanacağı hususlarına yönelik
yaklaşımların gösterildiği bir rehber
yayımladı9. Otoritenin cezalandırma yetkisini
nasıl kullandığı konusunda kuruluşlara
sağlanan şeffaflığın artırılması amacına
yöneldiği belirtilen çalışmada; “teşebbüs”
veya kuruluşun “ekonomik varlığının”
belirlenmesi gibi temel sorulara nasıl
yaklaşılacağı ve uygulanacak idari para
cezasının hesaplanmasında kullanılan
metodoloji gibi hususlar açıklanmaktadır.
» Avrupa Parlamentosu Araştırma Servisi
(EPRS), Yapay Zekâ Yasası’na (AI Act)
yönelik genel bir çerçeve sunulan çalışmanın
güncellenmiş versiyonunu yayımladı10.
Bu çerçevede bahse konu metinde;
düzenleme ile getirilen hususlar, paydaşların/
akademisyenlerin vb. buna yönelik görüşleri,
düzenlemenin kabul edilmesine ilişkin süreç,
düzenlemenin kapsamı ve benimsenen
risk temelli yaklaşım gibi hususlara yönelik
açıklamalarda bulunulmaktadır.
» Birleşmiş Milletler Genel Kurulu; kişisel
verilerin korunmasını, yapay zekâ kullanımının
ortaya çıkarabileceği risklerin izlenmesini ve
insan haklarının korunmasını teşvik etmek
amacıyla yapay zekâya ilişkin ilk küresel
kararı oy birliği ile kabul etti11. Bu kapsamda
yapılan açıklamada, uluslararası insan hakları
hukuku çerçevesinde kullanılması mümkün
olmayan veya insan haklarından yararlanma
konusunda çok fazla risk oluşturan yapay
zekâ sistemlerinin kullanımından kaçınılması
ya da bunların kullanımının durdurulması
yönünde üye devletlere ve paydaşlara çağrıda
bulunuldu. Diğer yandan, bireylerin çevrim dışı
ortamda sahip oldukları hakların, yapay zekâ
sistemlerinin yaşam döngüsü boyunca çevrim
içi olarak da korunması gerektiği gibi hususlara
dikkat çekildi.
» Birleşik Krallık Veri Koruma Otoritesi (ICO),
üretici yapay zekâya ilişkin bir istişare
11 https://news.un.org/en/story/2024/03/1147831, 21.03.2024.
12 https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/ico-consultation-series-on-generative-ai-and-data-
protection/
13 https://www.oecd.org/science/using-ai-in-the-workplace-73d417f9-en.htm, 15.03.2024.
serisi başlatıldığını duyurdu. Veri koruma
düzenlemelerinin birtakım yönlerinin
teknolojinin geliştirilmesi ve kullanılmasına
nasıl uygulanması gerektiğinin incelenmesi
amacıyla başlatıldığı belirtilen seride;
üretici yapay zekâ modellerini eğitmek için
uygun yasal dayanağın ne olduğu, amacın
sınırlandırılması ilkesinin üretici yapay zekâ
geliştirme bağlamında nasıl işlediği, verilerin
doğruluğunun sağlanması ilkesine uyum
sağlama konusunda beklentilerin neler olduğu
ve ilgili kişilerin haklarını kullanmalarının nasıl
sağlanabileceği gibi konuların ele alınacağı
belirtildi. Bu çerçevede serinin ilk paylaşımında
“Üretici Yapay Zekâ Modellerini Eğitmede
Veri Kazımanın Hukuki Dayanağı” konusu
ele alınırken, devamında “Üretici Yapay Zekâ
Yaşam Döngüsünde Amacın Sınırlandırılması”
konusu incelendi12.
» OECD, iş yerinde yapay zekâ kullanımının ortaya
çıkarabileceği risklerin ve buna yönelik olarak
uygulamaya konulabilecek yaklaşımların ele
alındığı bir çalışma yayımladı13. Bu kapsamda
çalışmada yer alan bulgular arasında;
(1) OECD’nin işçi ve işverenlere yönelik
anketlerinden alınan cevaplara göre, beş
çalışandan dördünün yapay zekânın iş yerindeki
27 26
» KVKK Bülten
-- 14 of 22 --
performanslarını ve beş çalışandan
üçünün ise işten aldıkları keyfi artırdığı,
(2) Yapay zekâ kullanımından elde
edilebilecek faydaların ilgili risklerin
ele alınmasına bağlı olduğu, (3)
OECD ülkelerinde otomasyona en çok
maruz kalma riski taşıyan mesleklerin,
istihdamın yaklaşık %27’sini
oluşturduğu, (4) Artan iş yoğunluğu,
verilerin toplanması/kullanılması ve
artan eşitsizlik konusunda işçilerin
endişelerinin bulunduğu gibi hususlar
yer almaktadır.
» Fransa Veri Koruma Otoritesi
(CNIL), kişisel verilerin güvenliğinin
sağlanmasına yönelik rehberin
güncellenmiş versiyonunu yayımladı14.
Bahse konu rehberde; yapay zekâ, mobil
uygulamalar, bulut bilişim ve uygulama
programlama arayüzleri (API) ile bu
alanlar kapsamında kişisel verilerin
nasıl işlenmesi gerektiği konularına
14 https://www.cnil.fr/en/practice-guide-security-personal-data-2024-edition, 26.03.2024.
15 https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-03/cp240048en.pdf, 14.03.2024.
odaklanılmaktadır.
KARARLAR
» Avrupa Birliği Adalet Divanı’nın
kişisel verilerin korunmasına ilişkin
değerlendirmelerde bulunduğu C-46/23
sayılı Kararında; bir üye devletin denetim
otoritesinin, ilgili kişinin bu konuda
bir talebi olmasa dahi, hukuka aykırı
şekilde işlenmiş verilerin silinmesini
emredebileceği ve bu şekilde bir silme
işleminin, doğrudan ilgili kişiden alınan
veriler ile başka bir kaynaktan elde edilen
verileri kapsayabileceğine hükmedildi15.
» Avrupa Birliği Adalet Divanı’nın C-61/22
sayılı Kararında; kimlik kartlarına
iki parmak izinin zorunlu olarak
yerleştirilmesinin, özel hayata saygı ve
kişisel verilerin korunmasına ilişkin temel
haklarla bağdaştığı, sahte kimlik kartı
üretimi/kimlik hırsızlığı ile mücadele
» ÖNE ÇIKAN GELİŞMELER
edilmesi ve doğrulama sistemlerinin birlikte
çalışabilirliğinin sağlanması hedeflerinin bu
durumu doğruladığı, bununla birlikte bahse
konu tedbiri öngören düzenlemenin hukuki
dayanağının doğru olmaması nedeniyle söz
konusu tedbirin geçersiz kabul edilmesine
hükmedilmiş ve doğru yasal temele dayalı
yeni bir düzenlemenin kabul edilebilmesi için
AB’nin yasama organına 31.12.2026 tarihine
kadar süre tanınmıştır16.
HABERLER
» Birleşik Krallık Veri Koruma Otoritesi (ICO),
ülkede en çok ziyaret edilen bazı internet
sitelerine, çerez uygulamalarını veri koruma
düzenlemelerine uygun hâle getirmeleri ve
aksi takdirde yaptırımlarla karşılaşacakları
yönünde geçtiğimiz kasım ayı içerisinde
uyarıda bulunulmasının ardından, olumlu geri
dönüşler alındığını duyurdu17. Bu kapsamda,
ülkenin en popüler 100 adet internet
sitesinden 53’üne reklam/pazarlama
çerezlerinin mevzuata uygunluğunu sağlama
konusunda uyarıda bulunulduğu, bunlardan
38 tanesinin çerez bantlarında değişikliğe
gittiği ve 4 tanesinin ise şubat ayının sonuna
kadar uyumluluğu sağlamayı taahhüt ettiği
belirtildi. Diğer yandan, Otorite’nin bir sonraki
hamlesinin ise söz konusu internet sitelerini
takip eden, ülkenin en popüler 200 internet
sitesine uyarıda bulunmak olacağı ifade
edildi.
» Avrupa Veri Koruma Kurulu (EDPB), internet
sitelerinin mevcut veri koruma düzenlemeleri
ile uyumlu olup olmadığının analiz edilmesine
yardımcı olması için kullanılabilecek bir
internet sitesi denetim aracının kullanıma
sunulduğunu duyurdu18. Ücretsiz ve açık
16 https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-03/cp240050en.pdf, 21.03.2024.
17 https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2024/01/ico-warns-organisations-to-proactively-
make-advertising-cookies-compliant/, 31.01.2024.
18 https://edpb.europa.eu/news/news/2024/edpb-launches-website-auditing-tool_en, 29.01.2024.
19 https://www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-
microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en, 11.03.2024.
20 https://ec.europa.eu/commission/presscorner/detail/en/ip_24_1485, 14.03.2024.
kaynak kodlu şekilde sunulan bu yazılımın,
veri sorumluları ile veri işleyenlerin yanı
sıra veri koruma otoriteleri tarafından
yürütülen incelemeler açısından da fayda
sağlayabileceği ifade edildi.
» Avrupa Veri Koruma Denetçisi (EDPS)
tarafından yapılan basın açıklamasında,
Avrupa Komisyonu’nun (Komisyon)
Microsoft 365 kullanımının birtakım
temel veri koruma düzenlemelerini ihlal
ettiğinin tespit edildiği ve buna yönelik
düzenleyici önlemlerin alınması yönünde
Komisyon’un talimatlandırıldığı ifade edildi19.
Bu kapsamda; Microsoft 365 kullanılırken
hangi tür kişisel verilerin toplanacağının
ve bunların hangi amaçlar doğrultusunda
kullanılacağının veri sorumlusu olan
Komisyon ile Microsoft arasında akdedilen
sözleşmede yeterli şekilde gösterilmediği,
kişisel verilerin aktarımında çeşitli mevzuat
hükümlerinin ihlal edildiği, bu bağlamda
yeterlilik kararı kapsamında olmayan ülkelere
yapılacak aktarımın 09.12.2024 tarihinden
itibaren geçerli olmak üzere durdurulması
yönünde Komisyonun talimatlandırılmasına
karar verildiği belirtildi.
» Avrupa Komisyonu’nun; risklerin yönetilmesi
ve azaltılması, içerik denetimi ve şikâyetlerin
ele alınma mekanizması, reklam ve
tavsiye sistemlerinin şeffaflığı ile bağlantılı
alanlarda Dijital Hizmetler Yasası’nın ihlal
edip edilmediğinin değerlendirilmesini
sağlamak üzere AliExpress hakkında işlem
başlattığı duyuruldu20. Hatırlanacak olursa,
AliExpress’in Avrupa Birliği’nde aylık 104.3
milyon aktif kullanıcıya sahip olduğunun
beyan edilmesinin ardından Nisan 2023’te
AB Dijital Hizmetler Yasası kapsamında
29 28
» KVKK Bülten
-- 15 of 22 --
» ÖNE ÇIKAN GELİŞMELER
“çok büyük çevrim içi platform (VLOP)”
olarak belirlenmiş ve bahse konu Yasa’da
düzenlenen bir dizi yükümlülüğe uyum
sağlamak üzere dört aylık bir süre tanınmış
idi.
» Cognition Labs tarafından geliştirilen,
dünyanın ilk yapay zekâ yazılım mühendisi
“Devin” tanıtıldı. İnsan müdahalesine
gerek kalmaksızın, çok çeşitli mühendislik
görevlerini yerine getirmek üzere tasarlandığı
belirtilen Devin’in, yazılım mühendisliği
alanındaki en ileri teknolojileri bünyesinde
barındırdığı ifade edilmektedir21. Bu
kapsamda Devin’in yetenekleri arasında;
yeni teknolojileri hızlı bir şekilde öğrenme,
otonom bir şekilde sıfırdan uygulama
oluşturma, kodlardaki hataları belirleme ve
düzeltme, açık kaynaklı yazılımları iyileştirme
21 https://dataconomy.com/2024/03/13/cognition-ai-devin/, 13.03.2024.
22 https://www.scmp.com/tech/tech-trends/article/3254994/hong-kong-research-centre-under-china-academy-
sciences-launches-ai-tool-assist-complex-brain-surgery, 12.03.2024.
ve sürdürülmesine katkıda bulunma,
mühendislerle gerçek zamanlı olarak iş birliği
yapabilme, zaman içerisinde performansını
ve verimliliğini geliştirme gibi hususlar
sayılmaktadır.
» Çin Bilimler Akademisi bünyesinde çalışan
bir grup bilim insanının, karmaşık beyin
cerrahisi prosedürlerinde doktorlara
yardımcı olmak üzere tasarlanmış bir
yapay zekâ aracını piyasaya sürmeye
hazırlandığı bildirildi22. Beyin cerrahlarının
“daha etkili klinik teşhis” sağlamalarına ve
yeterli referanslara dayanarak “daha iyi
tıbbi kararlar” almalarına yardımcı olması
amaçlanan “CARES Copilot 1.0” isimli bu
yapay zekâ modelinin, hâlihazırda Hong Kong
ve Çin’deki birçok hastanede dahili testlerden
geçtiği ve doktorların ameliyat planlaması ile
sonrasındaki yönetimi için iş akışlarına dahil edildiği
belirtilmektedir.
» Üretici yapay zekâ modellerine yönelik yapılan
bir araştırmada; bu modeller görünüşte ırkçı
olmasalar dahi, Afro-Amerikan İngilizcesi söz konusu
olduğunda gizliden gizliye ırkçılık yaptıkları ve bu dili
konuşan kişilerin ölüme mahkum edilme olasılığının
varsayımsal olarak daha yüksek şekilde belirlendiği
ortaya konuldu23. Bu kapsamda OpenAI, Meta ve
Google’ın büyük dil modelleri üzerinde yapılan
araştırmada; Afro-Amerikan İngilizcesi konuşan
kişilerin çok çeşitli işlerle ilişkilendirilmesi olasılığının
daha düşük olduğu, bu kişilerin aşçılık, askerlik veya
koruma gibi üniversite diploması gerektirmeyen
işlerle eşleştirilme olasılıklarının daha yüksek olduğu
ve varsayımsal sorular üzerinden gerçekleştirilen
sorgulamalar neticesinde Standart Amerikan
İngilizcesi konuşan kişiler ile karşılaştırıldığında bu
kişilerde mahkumiyet oranının daha yüksek şekilde
belirlendiği ortaya çıkarıldı.
» Florida’da, 14 yaşın altındaki çocukların sosyal medya
kullanımını yasaklayan Yasa tasarısı onaylandı24. 1
Ocak 2025 tarihinde yürürlüğe girecek olan Yasa;
çevrim içi platformların, belirlenen yasal yaşın
altındaki kişilerin sahip oldukları tüm hesapları
silmelerini ve 14 ile 15 yaşındaki çocukların sosyal
medya hesabı açabilmelerinde ise ebeveyn izni
alınmasını gerektirmektedir. ABD’de çocuklara yönelik
en kısıtlayıcı sosyal medya yasaklarından biri olarak
nitelendirilen bahse konu Yasa’ya eleştiri getiren
çevrelerce, bu Yasa’nın ABD Anayasası’nın Birinci
Değişikliğini ihlal ettiği ileri sürülürken; Yasa’nın
savunucuları ise çocukların çevrim içi ortamda
karşılaşabilecekleri zararlardan ve zihinsel sağlıklarına
yönelik risklerden korunmasını sağlayacağını ifade
etmektedirler.
23 https://gizmodo.com/ai-study-african-american-english-racism-chatgpt-1851317017, 07.03.2024.
24 https://globalnews.ca/news/10385088/florida-social-media-ban-under-14-ron-desantis/, 26.03.2024.
31 30
» KVKK Bülten
-- 16 of 22 --
» BİZDEN HABERLER
28 OCAK VERİ KORUMA GÜNÜ ETKİNLİĞİ
GERÇEKLEŞTİRİLDİ
Kurumumuz ve Türkiye Adalet Akademisi iş birliğinde düzenlenen “28 Ocak Veri Koruma
Günü” etkinliği KVKK Konferans Salonunda gerçekleştirildi. Çok sayıda davetlinin katıldığı
etkinlikte alanında uzman isimler tarafından kişisel verilerin korunması alanındaki suç
ve kabahatler ile inceleme ve yargı süreçleri ele alındı. Etkinliğin açılış konuşmalarını
Türkiye Adalet Akademisi Başkanı Muhittin ÖZDEMİR ile Kurum Başkanımız Prof. Dr.
Faruk BİLİR yaptılar.
Teknolojik ilerlemelerin bireyin mahremiyetini göz önünde tutan bir anlayışla
gerçekleştirilmesinin ciddi önem taşıdığını dile getiren BİLİR, kişisel verilerin
korunmasının, teknolojik ilerlemenin insan haklarına uyumlu olması için vazgeçilmez
bir unsur olduğunu vurguladı. BİLİR, üretici yapay zekanın insan hayatını daha iyi hale
getirme gücüne sahip olduğuna, ancak bu gücün doğru ve hukuka uygun şekilde
kullanılması gerektiğine dikkat çekti.
Etkinlik, “Kişisel Verilerin Korunması Alanında Suç ve Kabahat” ile “Kişisel Verileri Koruma
Kurulu İnceleme Süreçleri ve Kurul Kararlarına Karşı Yargı Süreçlerinin Değerlendirilmesi”
olmak üzere iki oturum şeklinde gerçekleştirildi.
DİJİTAL ÇAĞDA KİŞİSEL VERİ GÜVENLİĞİ
KONFERANSI GERÇEKLEŞTİRİLDİ
ICT Media tarafından düzenlenen “Dijital Çağda Kişisel Veri Güvenliği” Konferansı 2 Şubat
2024 tarihinde, KKTC Cumhurbaşkanı Sn. Ersin TATAR, KKTC Bayındırlık ve Ulaştırma Bakanı
Sn. Erhan ARIKLI, KKTC Bilgi Teknolojileri ve Haberleşme Kurumu Başkanı Sn. Kadri BÜRÜNCÜK,
KKTC Veri Koruma Kurulu Başkanı Sn. Kaan KUTLAY ve Kurum Başkanımız Sn. Faruk BİLİR'in
katılımıyla gerçekleştirildi.
KKTC Bilgi Teknolojileri Haberleşme Kurumu’nda (BTHK) düzenlenen etkinlikte konuşan
Kurum Başkanımız Prof. Dr. Faruk BİLİR, Kişisel Verileri Koruma Kurumu olarak, Türkiye’nin
Kuzey Kıbrıs Türk Cumhuriyeti ile sarsılmaz birlikteliğini veri koruma alanında da sağlamak
istediklerini dile getirdi.
Daha önce Kurumumuz ile KKTC Kişisel Verileri Koruma Kurulu arasında karşılıklı birtakım
ziyaretlerin ve çalışma toplantılarının gerçekleştirildiğini anımsatan BİLİR, söz konusu iş
birliğinin artırılmasının önem taşıdığını belirtti.
Konuşmasında Kurumumuz ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hakkında bilgiler
de paylaşan BİLİR, bu çerçevede kişisel veri güvenliğinin sağlanmasına yönelik önem arz eden
hususları ifade etti.
Öte yandan BİLİR, KKTC Lefkoşa Büyükelçimiz Sn. Metin FEYZİOĞLU ile bir araya geldi.
33 32
» KVKK Bülten
-- 17 of 22 --
» BİZDEN HABERLER
KİŞİSEL VERİLERİN KORUNMASI KANUNU'NDA
YAPILAN DEĞİŞİKLİKLER KONULU SEMİNER
DÜZENLENDİ
Kurum Başkanımız Prof. Dr. Faruk BİLİR’in konuşmacı olarak gerçekleştirdiği, “6698
Sayılı Kişisel Verilerin Korunması Kanunu’nda Yapılan Değişiklikler” konulu Seminer,
Kurumumuz Konferans Salonu’nda düzenlendi. Yoğun katılımın sağlandığı seminerde,
Kişisel Verilerin Korunması Kanunu ile ilgili yapılan düzenlemeler anlatıldı.
Kanun'un; özel nitelikli kişisel verilerin işlenme şartlarını, kişisel verilerin yurt dışına
aktarılmasını ve kabahatleri düzenleyen 6'ncı, 9'uncu ve 18'inci maddelerinde önemli
değişiklikler yapıldığını ifade eden Kurum Başkanımız Prof. Dr. Faruk BİLİR, Kanun'un
mevcut hali ile yeni halini karşılaştırmalı olarak ele aldı.
KİŞİSEL VERİLERİN KORUNMASI SEMİNERİ
ERZURUM'DA DÜZENLENDİ
Erzurum Valiliği tarafından düzenlenen personel eğitim seminerleri kapsamında “Kişisel
Verilerin Korunması” konulu seminer, 2 Şubat 2024 tarihinde düzenlendi.
Erzurum Valisi Sayın Mustafa ÇİFTÇİ'nin açılış konuşmasını yaptığı Seminerde; Kişisel Verileri
Koruma Kurulu Üyesi Şaban BABA ve Kişisel Verileri Koruma Uzmanı Mustafa Şeref İŞCAN,
Kişisel Verilerin Korunması Kanunu kapsamında; kişisel verilerin işlenmesi ve buna yönelik
ilkeler, veri işleyenlerin yükümlülükleri, mahremiyet, güvenlik ve aydınlatma yükümlülüğü gibi
konularda bilgiler verdi.
Seminere Erzurum ilindeki kurumlardan çok sayıda temsilci katıldı.
35 34
» KVKK Bülten
-- 18 of 22 --
» BİZDEN HABERLER
TÜRKİYE CUMHURİYETİ KİMLİK
NUMARALARININ İŞLENMESİ
HAKKINDA REHBER
Elde edilmesi halinde mahiyeti gereği ilgili kişilerin diğer kişisel verilerine de erişim
imkânı sağlayabilmesi sebebiyle mağduriyete yol açabilecek olan Türkiye Cumhuriyeti
(T.C.) kimlik numaralarının işlenmesi faaliyetinde dikkat edilmesi gereken hususlara
ilişkin olarak “Türkiye Cumhuriyeti Kimlik Numaralarının İşlenmesi Hakkında Rehber”
yayımlandı.
Rehberde, kişisel veri niteliğinde olan T.C. kimlik numaralarının Kişisel Verilerin
Korunması Kanunu ve ikincil mevzuatına uygun bir şekilde işlenmesi hususuna ilişkin
tavsiyelere yer verildi.
SEÇİM FAALİYETLERİNDE KİŞİSEL VERİLERİN
KORUNMASI REHBERİ
Seçim faaliyetlerinde yer alan kamu idarelerine, siyasi partilere, adaylara ve seçmenlere
Kanun kapsamında yerine getirmeleri gereken yükümlülüklerin veya sahip oldukları hakların
hatırlatılması amacıyla, seçim faaliyetleri (seçmen kütüğünün düzenlenmesi, güncellenmesi,
askıya çıkartılması, aday adaylığı, aday gösterme, kesin aday listelerinin ilanı, seçim
propagandası, kamuoyu araştırmaları, oy verme vb.) kapsamında işlenen muhtelif kişisel
verilere ilişkin olarak “Seçim Faaliyetlerinde Kişisel Verilerin Korunması Rehberi” yayımlandı.
37 36
» KVKK Bülten
-- 19 of 22 --
» BİZDEN HABERLER
KANUNLARDA ÖNGÖRÜLME KİŞİSEL VERİ İŞLEME
ŞARTINA İLİŞKİN BİLGİ NOTU
Kişisel Verilerin Korunması Kanunu’nun “kişisel verilerin işlenme şartları” başlıklı 5’inci
maddesinin 2’nci fıkrası (a) bendinde yer alan “kanunlarda açıkça öngörülme” kişisel
veri işleme şartı hakkında “Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin
Bilgi Notu” hazırlandı. Bilgi notunda önce Türk hukuku kapsamında, daha sonra ise
Avrupa Birliği hukuku kapsamında değerlendirmelerde bulunuldu.
DEEPFAKE BİLGİ NOTU
KAMUOYU DUYURUSU
Derin öğrenme (deep learning) ve sahte (fake) kelimelerinden oluşturulmuş olan “Deepfake” (derin
kurgu ya da derin sahte) teknolojisinin ne olduğunun daha iyi anlaşılabilmesi amacıyla “Deepfake Bilgi
Notu” hazırlandı.
Bilgi notunda; deepfake'in tanımına, ne için kullanıldığına, kişisel veriler açısından oluşturduğu
tehditlere, nasıl tespit edilebileceğine ve deepfake teknolojisine karşı kişilerin ve kurumların neler
yapabileceğine ilişkin bilgiler paylaşıldı.
“Yurt Dışında Yaşayan Türkiye Cumhuriyeti Vatandaşlarının Finansal Hesap
Verilerinin Yurt Dışına Aktarılmamasına İlişkin Talepleri” hakkında kamuoyu
duyurusu yayımlandı.
39 38
» KVKK Bülten
-- 20 of 22 --
» BİZDEN HABERLER
ÇARŞAMBA SEMİNERLERİ
HATIRLATMALAR
Kurumumuz sosyal ağ hesapları aracılığıyla:
» Dolandırıcıların çeşitli yöntemlerle gerçekleştirdikleri kişisel veri taleplerine karşı
dikkatli olunması bakımından faydalı olabilecek bazı hatırlatmalar paylaşıldı. Bu
çerçevede dolandırıcıların kendilerini kamu görevlisi olarak tanıtabileceği, kişi,
kurum ve kuruluşların web sayfalarını ve sosyal ağ hesaplarını taklit edebileceği
hatırlatılarak birtakım önerilerde bulunuldu.
» Seçmen kaydı sorgulama işlemlerine ilişkin birtakım hatırlatmalarda bulunuldu.
“Seçmen kaydınızı sorgulayın” yazılı e-posta ve kısa mesaj gönderen kötü niyetli
kişilere karşı dikkatli olunması gerektiği belirtilen hatırlatmada içerisinde; seçmen
kaydı sorgulama işlemlerinin yapılabileceği resmi sorgulama kanalları paylaşıldı.
Kişisel verilerin korunması mevzuatı hakkında kamuoyunu bilgilendirmek
amacıyla “Çarşamba Seminerleri” 2024 yılında da devam ediyor.
Bu çerçevede 2024 yılının ilk üç ayı içerisinde;
» “Yapay Zekâ Sistemleri ve Hukuki Etkileri”
» “Mahremiyet Artırıcı Teknolojiler”
» “Kişilik Hakkı Çerçevesinde Ölümden Sonra Kişisel Verilerin Korunması”
» “6698 Sayılı Kişisel Verilerin Korunması Kanunu'nda Yapılan Değişiklikler”
konulu Çarşamba Seminerleri düzenlendi.
PODCAST
“Bir Küçük Farkındalık Yeter” isimli podcast kanalımızda; kişisel verilerin korunmasına
ilişkin gelişmeler konusunda bilgi paylaşımını amaçlayan podcast serimizin yeni bölümleri
yayınlandı.
41 40
» KVKK Bülten
-- 21 of 22 --
-- 22 of 22 --
