Duyurular

24 Mart 2026 tarihli Resmi Gazete’de yayımlanan 2026/347 sayılı Kişisel Verilerin İşlenmesinde Aydınlatma ve Açık Rıza Metinlerinin Ayrı Düzenlenmesine İlişkin İlke Kararında, kişisel verilerin işlenmesi sürecinde veri sorumluları tarafından sunulan aydınlatma ve açık rıza metinlerinin iç içe geçmesinin en sık karşılaşılan hukuka aykırılıklardan biri olduğunu tespit ederek bu belgelerin ayrı ayrı düzenlenmesi gerektiğini hüküm altına almış, birbirinden ayrı metinler aracılığıyla yerine getirmeleri zorunlu kılınmıştır

Anayasa’nın 20’nci maddesi ve 6698 sayılı Kanun’un 5, 6 ve 10’uncu maddeleri uyarınca aydınlatma yükümlülüğü, ilgili kişinin talebine veya onayına bağlı olmaksızın her durumda yerine getirilmesi gereken bir bilgilendirme faaliyetiyken; açık rıza, belirli bir konuya ilişkin özgür iradeyle açıklanan ve bilgilendirilmeye dayanan bir onay işlemidir. Bu doğrultuda veri sorumluları, aydınlatma ve açık rıza metinlerini aynı sayfa üzerinde sunsalar dahi mutlaka farklı başlıklar altında yapılandırmalı; aydınlatma metinlerinin sonunda “okudum ve kabul ediyorum” gibi rıza anlamına gelen ifadeler yerine sadece bilgilendirme yapıldığını teyit eden “okudum ve anladım” beyanına yer vermelidir. Ayrıca, başka veri sorumlularına ait metinlerin kopyalanarak kullanılması, metinlerin gereksiz teknik ve hukuki terimlerle uzatılması, muğlak ifadeler barındırması ve Kanun’un 11’inci maddesinde yer alan ilgili kişi haklarının özetlenmek yerine madde metninin aynen kopyalanması gibi hatalardan kaçınılması gerektiği; bunun yerine her veri sorumlusunun kendi organizasyonel yapısına özgü, sade ve anlaşılır bir dil benimsemesi gerektiği belirtilmiştir. Veri sorumlusunun unvanı, MERSİS numarası ve iletişim bilgilerinin açıkça belirtilmediği veya aydınlatma yükümlülüğünün bir onay şartına bağlandığı uygulamaların hukuka aykırı olduğu tespit edilmiştir. (Kurul kararının sonunda ek olarak iyi uygulama ve kötü uygulama şablonları eklenmiştir).

Sonuç olarak, bu usul ve esaslara uyulması Kanun’un 12’nci maddesi kapsamında veri güvenliğini sağlamaya yönelik zorunlu bir idari tedbir olarak değerlendirilmiş olup, aykırılık durumunda veri sorumluları hakkında Kanun’un 18’inci maddesi uyarınca idari işlem tesis edileceği kamuoyuna ilan edilmiştir.

Kurul kararına bağlantıdan ulaşabilirsiniz: (https://www.resmigazete.gov.tr/eskiler/2026/03/20260324-3.pdf )

5 Mart 2026 tarihinde Kişisel Verileri Koruma Kurumu tarafından “İş Yerlerinde Üretken Yapay Zeka Araçlarının Kullanımına İlişkin Kılavuz” yayımlanmıştır.

Kılavuz hakkında hazırladığımız detaylı bilgi notuna erişmek için tıklayınız.

28 Şubat 2026 tarihli ve 33182 sayılı Resmî Gazete’ de yayımlanan Kişisel Verileri Koruma Kurulu’nun Sadakat Kart Programlarına ilişkin Kararı uyarınca; perakende ve hizmet sektörlerinde yaygın bir uygulama olan, alışveriş esnasında bizzat ilgili kişinin mevcudiyeti aranmaksızın sadece cep telefonu numarası veya sadakat kart numarası beyan edilerek indirim, puan kazanımı veya promosyonlardan faydalanılması yöntemi, herhangi bir kimlik doğrulama mekanizması içermediği gerekçesiyle hukuka aykırı bulunmuştur.

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yapılan değerlendirmede, üçüncü kişilerin sadece numara beyan ederek başkasının üyeliği üzerinden işlem yapmasının 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5. maddesinde yer alan veri işleme şartlarından hiçbirine dayanmadığı, bu durumun hem hukuka aykırı veri işlenmesine hem de ilgili kişinin rızası dışında veri sorumlusu nezdinde kayıt oluşturulmasına sebebiyet verdiği tespit edilmiştir. Ayrıca, başkasının gerçekleştirdiği alışverişe dair satın alınan ürün, tarih ve mağaza lokasyonu gibi hassas müşteri işlem detaylarının asıl kart sahibinin hesabına işlenmesinin ve faturanın bu kişi adına düzenlenmesinin, Kanun’un 4. maddesinde düzenlenen verilerin “doğru ve gerektiğinde güncel olma” ilkesini doğrudan ihlal ettiği açıkça vurgulanmıştır.

Veri sorumlusu şirketlerin, sadakat kart üyelik sözleşmelerine “kartın kullanım ve muhafaza sorumluluğu üyeye aittir” şeklinde hükümler ekleyerek sorumluluğu müşteriye yansıtmaya çalışmalarının, Kanun’un 12. maddesi kapsamındaki teknik ve idari tedbirleri alma yükümlülüğünü ortadan kaldırmadığı ifade edilerek; veri güvenliğini sağlamak amacıyla SMS yoluyla tek kullanımlık doğrulama kodu (OTP) gönderilmesi, mobil uygulama üzerinden dinamik QR kod/barkod okutulması, fiziki kartın ibrazı veya kasa cihazına şifre girişi gibi yöntemlerin yanı sıra, hangi işlemlerin (sadece puan kazanma veya sadece indirim) doğrulamasız yapılabileceğine dair müşteriye “opt-in” (seçimlik onay) tercihlerinin sunulması gibi katmanlı doğrulama mekanizmalarının tesisi zorunlu kılınmıştır.

Bu doğrultuda, söz konusu İlke Kararı ile tüm veri sorumlularına kararın yayımı tarihinden itibaren altı aylık bir uyum süresi tanınmış olup, 28 Ağustos 2026 tarihine kadar gerekli teknik altyapıyı oluşturmayan ve kontrolsüz numara beyanı ile işlem yapmaya devam eden işletmeler hakkında Kanun’un 18. maddesi hükümleri uyarınca ağır idari para cezalarının uygulanacağı hususu kamuoyuna bildirilmiştir.

Karar metninin tamamına bağlantıdan ulaşabilirsiniz:  (https://www.resmigazete.gov.tr/eskiler/2026/02/20260228-5.pdf )

Anayasa Mahkemesinin 15/10/2025 tarihli ve 2019/17045 başvuru numaralı kararı ile yargı kararıyla hüküm altına alınan bir alacağın, usulüne uygun olmayan bir teminatla icrasının durdurulması neticesinde mülkiyet hakkının ihlal edildiğine karar verilmiştir.

Başvurucu, 2013 yılında Batman İş Mahkemesinde açtığı işçilik alacakları davasını kazanmış ve yaklaşık 70.476 TL tutarında ilamlı icra takibi başlatmıştır. Davalı şirketlerden biri, kararı tehiri icra talepli olarak temyiz etmiş ve bu süreçte Yargıtaydan karar getirebilmek için icra müdürlüğüne 83.811,62 TL bedelli bir banka teminat mektubu sunmuştur. Sunulan bu teminat mektubunun sadece bir yıl süreli olduğu anlaşılmıştır. Batman İcra Mahkemesi bu süreli teminatı kabul etmiş, buna istinaden icra dairesi tarafından mehil vesikası düzenlenmiş ve bu tarihten itibaren 60 gün süreyle mehil vermiştir.

İcra ve temyiz süreci devam ederken başvurucu, Asliye Hukuk Mahkemesinden ilama dayanarak ihtiyati haciz talep etmiştir ve bu talebi mahkeme tarafından kabul edilmiştir. Davalılardan teminat mektubu sunan davalı, ihtiyati haciz kararına karşı İcra Mahkemesine şikâyet yoluyla başvurmuş ve teminat mektubu sunduğundan hacizlerin kaldırılmasını talep etmiştir. Neticede başvurucunun alacağını güvence altına almak için daha önce koydurduğu ihtiyati hacizler de dosyadaki teminat gerekçe gösterilerek kaldırılmıştır. Başvurucunun, yeniden değerlendirilmesi yönündeki talepleri ise sonuçsuz kalmıştır.

Anayasa Mahkemesi yaptığı incelemede, İcra ve İflas Kanunu’nun 36. maddesi uyarınca teminatın kesin ve süresiz olması gerektiğini, süreli bir teminatın kabul edilmesinin alacaklıyı korumasız bıraktığını vurgulamıştır. Kararın verildiği 2014 yılından onandığı 2019 yılına kadar geçen 4 yıl 6 aylık süreçte, usulüne uygun olmayan teminat nedeniyle icra sürecinin ilerlemediği ve başvurucunun alacağına kavuşmasının engellendiği tespit edilmiştir. Bu durumun, borçlu lehine avantaj sağlarken alacaklı aleyhine ölçüsüz bir külfet yüklediği ve taraflar arasındaki adil dengeyi bozduğu belirtilmiştir. Neticede Anayasa Mahkemesi, başvurucunun Anayasa’nın 35. maddesinde güvence altına alınan mülkiyet hakkının ihlal edildiğine oybirliğiyle karar vermiştir. İhlalin sonuçlarının tazminatla giderilmesi uygun görülerek, başvurucuya net 100.000 TL manevi tazminat ile 30.364,60 TL yargılama giderinin ödenmesine hükmedilmiştir. Maddi tazminat talebi ise icra takibi halen devam ettiği gerekçesiyle reddedilmiştir.

Kararın tamamına bağlantıdan ulaşabilirsiniz: https://www.resmigazete.gov.tr/eskiler/2026/02/20260226-6.pdf

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, mobil uygulamalar üzerinden gönderilen anlık bildirimlere ilişkin kamuoyu duyurusu yayımlanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca mobil uygulama sağlayıcılarının veri işleme faaliyetlerinin, özellikle Kanun’un 4. maddesindeki genel ilkelere ve 5. maddesindeki işleme şartlarına uygun olması zorunlu tutulmuştur. Anlık bildirimler, kullanıcıya hızlı bilgi sağlamakla birlikte, kullanıcıdan alınan izinler kapsamında kişisel veri işlenmesine dayanmaktadır.

Kuruma intikal eden şikayetler üzerine yapılan incelemelerde, bazı mobil uygulama sağlayıcılarının kullanıcılarından tek bir onayla birden fazla amaca dair rıza alındığını ve hizmetin doğal parçası olan bildirimlerin, pazarlama içerikleriyle birlikte zorunlu tutulduğunu, kampanya ve reklam içerikli bildirimleri de kabul etme zorunluluğu getirdiği tespit edilmiştir. Kurum, bir hizmetin sunulmasının o hizmetle doğrudan ilgisi olmayan başka bir veri işleme amacına (pazarlama) rıza gösterilmesi şartına bağlanmasının, açık rızanın temel unsuru olan “özgür iradeyi” sakatladığını belirtmiştir.

Bir hizmetin sunulmasının, o hizmetle doğrudan ilgili olmayan veri işleme amaçlarına rıza verilmesi şartına bağlanması hukuka aykırı olduğunu belirterek Kurum, bu kapsamda “parçalı açık rıza” ilkesi gereği, her bir veri işleme amacı için ayrı ve bağımsız seçim imkânı sunulması gerektiğini belirtmiştir. Mobil uygulamaların teknik yapıları da bu gereklilikleri destekleyecek şekilde kurgulanmalı, kullanıcılara hangi tür bildirimleri almak istediklerini ayırt edebilme ve yönetebilme imkânı tanınmasının gerektiğinin altını çizmiş aksi halde, Kanun’un 12. maddesi kapsamında gerekli teknik ve idari tedbirlerin alınacağını kamuoyuna duyurmuştur.

Duyuru metninin tamamına bağlantıdan ulaşabilirsiniz : (https://www.kvkk.gov.tr/Icerik/8578/mobil-uygulamalar-uzerinden-gonderilen-anlik-bildirimlere-iliskin-kamuoyu-duyurusu )

Kişisel Sağlık Verileri Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik, 3 Aralık 2025 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Yönetmelikte yapılan dikkat çeken değişiklikler özetle şu şekildedir:

• Avukatların sağlık verilerine erişiminde vekaletnamelerde özel nitelikli kişisel veri işleme ve aktarıma ilişkin açık rıza hükmü bulundurma zorunluluğu kaldırılmıştır. Bu doğrultuda avukat erişimi genel vekalet hükümleri ve Kişisel Verilerin Korunması Kanunu çerçevesinde değerlendirilecektir. Geçmiş sağlık verilerinin dökümünü sunma ve gösterme yükümlülüğü ise özel nitelikli kişisel verilerin işlenme şartlarının sağlanması koşuluna bağlanmıştır.
• Tanımlar bölümüne “bakım veren kişi” kavramı eklenmiştir. Sağlık personelinin verilere erişim süresi genişletilmiş, aile hekimlerinin süresiz erişim sağlanması hükmü korunmuştur. Muayene olunan hekimin ve ilgili sağlık hizmeti sunucusundaki hekimlerin erişimi sağlık hizmeti tamamlanıncaya kadar devam edecektir. Acil servise yapılan başvurularda ise hastanın taburcu olmasına kadar tüm acil servis hekimlerine erişim yetkisi tanınmıştır.
• e-Nabız güvenlik ayarları kapsamında erişim tercihini kapatan kişilerin geçmiş verilerine telefon doğrulama kodu paylaşımı ile erişim sağlanabilecek, tutukluluk ve hükümlülük gibi durumlarda kod zorunluluğu uygulanmayarak aile hekimi ve muayene olduğu hekimler erişim sağlayabilecektir. Bakanlık, işleme şartlarının oluştuğu durumlarda oluşabilecek hizmet aksaklıkları ve zararlardan sorumlu tutulacaktır.
• Çocukların ve engellilerin sağlık verilerine erişim alanında önemli yenilikler getirilmiştir. Boşanma sürecinde geçici velayet sahibi ebeveyn çocuğun sağlık verilerine erişebilecek, boşanma sonrası nihai velayet sahibi ebeveyn erişim hakkına sahip olacaktır. Velayeti bulunmayan ebeveyn ise başvuru üzerine lokasyon ve iletişim bilgileri çıkarılmış şekilde sadece çocuğun sağlık durumuna ilişkin verileri sınırlı biçimde görüntüleyebilecektir. Ayrıca engelli raporu bulunan kişilere bakım veren kişilere erişim yetkisi tanınmıştır.
• Sağlık verilerinin saklama süresi ölen kişiler bakımından 20 yıldan 30 yıla çıkarılmıştır.
• Yönetmelikte yer alan bazı hükümlerin lafzı değiştirilmiş, bazı maddeler yürürlükten kaldırılmıştır. Değişiklikler yürürlüğe girmiş olup uygulamaya ilişkin hususlar Sağlık Bakanlığı tarafından yürütülecektir.

Yönetmeliğin tamamına bağlantıdan ulaşabilirsiniz : (https://www.resmigazete.gov.tr/eskiler/2025/12/20251203-2.htm )

27.11.2025 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Vergi Usul Kanunu Genel Tebliği (Sıra No: 585) ile yeniden değerleme oranı açıklanmıştır.

Yeniden değerleme oranı; vergi oranlarının, harçların, ve para cezalarının güncellenmesinde kullanılmaktadır.  Bu oran, TÜİK’in Yurt İçi Üretici Fiyat Endeksi (Yİ-ÜFE) verilerine dayanılarak, bir önceki yılın aynı dönemine göre Ekim ayında gerçekleşen ortalama fiyat artışı oranına göre hesaplanmakta olup bu tebliğ ile 2025 yılı için yeniden değerleme oranı %25,49 olarak belirlenmiştir.

Belirlenen yeniden değerlendirme oranı uyarınca, 2026 yılında KVKK kapsamındaki yükümlülüklerin ihlal edilmesi halinde uygulanacak idari para cezaları da güncellenmiştir :

• Aydınlatma yükümlülüğünün yerine getirilmemesi halinde 85.437 TL ile 1.709.200 TL,
• Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 256.357 TL ile 17.092.242 TL,
• Kurul tarafından verilen kararların yerine getirilmemesi halinde 427.263 TL ile 17.092.242 TL,
• VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi durumunda 341.809 TL ile 17.092.242 TL arasında,
• Standart sözleşmelerin beş iş günü içinde Kurum’a bildirilmemesi halinde ise 90.308 TL ile 1.806.177 TL arasında idari para cezası söz konusu olacaktır.

Tebliğin tamamına erişmek için: https://www.resmigazete.gov.tr/eskiler/2025/11/20251127-4.htm )

Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinin dördüncü fıkrasının (a) bendi uyarınca, uluslararası sözleşme niteliğinde olmayan bir anlaşma kapsamında yurt dışına kişisel veri aktarımına ilk kez izin verildiğini kamuoyuna duyurdu.

Duyuruya göre, aktarım yapılacak ülke için yeterlilik kararı bulunmuyorsa, verilerin Kanun’da öngörülen uygun güvencelerden birinin sağlanması hâli kapsamında, Türkiye’deki kamu kurumları veya kamu kurumu niteliğindeki meslek kuruluşları ile yurt dışındaki kamu kurumları veya uluslararası kuruluşlar arasında yapılan “uluslararası sözleşme niteliğinde olmayan anlaşmalar” gösterildi. Kişisel Verilerin Korunması Kurulu tarafından Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 11. maddesi kapsamında yapılan değerlendirme sonucunda, İçişleri Bakanlığı Göç İdaresi Başkanlığı ile Birleşmiş Milletler Mülteciler Yüksek Komiserliği (UNHCR) arasında yapılan anlaşma ile kişisel verilerin yurt dışına aktarılmasına izin verildi.

Duyurunun tamamına bağlantıdan ulaşabilirsiniz :

( https://www.kvkk.gov.tr/Icerik/8538/uluslararasi-sozlesme-niteliginde-olmayan-anlasma-ile-yurt-disina-kisisel-veri-aktarimina-izin-verilmesi-hakkinda-duyuru )