Duyurular

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, mobil uygulamalar üzerinden gönderilen anlık bildirimlere ilişkin kamuoyu duyurusu yayımlanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca mobil uygulama sağlayıcılarının veri işleme faaliyetlerinin, özellikle Kanun’un 4. maddesindeki genel ilkelere ve 5. maddesindeki işleme şartlarına uygun olması zorunlu tutulmuştur. Anlık bildirimler, kullanıcıya hızlı bilgi sağlamakla birlikte, kullanıcıdan alınan izinler kapsamında kişisel veri işlenmesine dayanmaktadır.

Kuruma intikal eden şikayetler üzerine yapılan incelemelerde, bazı mobil uygulama sağlayıcılarının kullanıcılarından tek bir onayla birden fazla amaca dair rıza alındığını ve hizmetin doğal parçası olan bildirimlerin, pazarlama içerikleriyle birlikte zorunlu tutulduğunu, kampanya ve reklam içerikli bildirimleri de kabul etme zorunluluğu getirdiği tespit edilmiştir. Kurum, bir hizmetin sunulmasının o hizmetle doğrudan ilgisi olmayan başka bir veri işleme amacına (pazarlama) rıza gösterilmesi şartına bağlanmasının, açık rızanın temel unsuru olan “özgür iradeyi” sakatladığını belirtmiştir.

Bir hizmetin sunulmasının, o hizmetle doğrudan ilgili olmayan veri işleme amaçlarına rıza verilmesi şartına bağlanması hukuka aykırı olduğunu belirterek Kurum, bu kapsamda “parçalı açık rıza” ilkesi gereği, her bir veri işleme amacı için ayrı ve bağımsız seçim imkânı sunulması gerektiğini belirtmiştir. Mobil uygulamaların teknik yapıları da bu gereklilikleri destekleyecek şekilde kurgulanmalı, kullanıcılara hangi tür bildirimleri almak istediklerini ayırt edebilme ve yönetebilme imkânı tanınmasının gerektiğinin altını çizmiş aksi halde, Kanun’un 12. maddesi kapsamında gerekli teknik ve idari tedbirlerin alınacağını kamuoyuna duyurmuştur.

Duyuru metninin tamamına bağlantıdan ulaşabilirsiniz : (https://www.kvkk.gov.tr/Icerik/8578/mobil-uygulamalar-uzerinden-gonderilen-anlik-bildirimlere-iliskin-kamuoyu-duyurusu )

Kişisel Sağlık Verileri Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik, 3 Aralık 2025 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.

Yönetmelikte yapılan dikkat çeken değişiklikler özetle şu şekildedir:

• Avukatların sağlık verilerine erişiminde vekaletnamelerde özel nitelikli kişisel veri işleme ve aktarıma ilişkin açık rıza hükmü bulundurma zorunluluğu kaldırılmıştır. Bu doğrultuda avukat erişimi genel vekalet hükümleri ve Kişisel Verilerin Korunması Kanunu çerçevesinde değerlendirilecektir. Geçmiş sağlık verilerinin dökümünü sunma ve gösterme yükümlülüğü ise özel nitelikli kişisel verilerin işlenme şartlarının sağlanması koşuluna bağlanmıştır.
• Tanımlar bölümüne “bakım veren kişi” kavramı eklenmiştir. Sağlık personelinin verilere erişim süresi genişletilmiş, aile hekimlerinin süresiz erişim sağlanması hükmü korunmuştur. Muayene olunan hekimin ve ilgili sağlık hizmeti sunucusundaki hekimlerin erişimi sağlık hizmeti tamamlanıncaya kadar devam edecektir. Acil servise yapılan başvurularda ise hastanın taburcu olmasına kadar tüm acil servis hekimlerine erişim yetkisi tanınmıştır.
• e-Nabız güvenlik ayarları kapsamında erişim tercihini kapatan kişilerin geçmiş verilerine telefon doğrulama kodu paylaşımı ile erişim sağlanabilecek, tutukluluk ve hükümlülük gibi durumlarda kod zorunluluğu uygulanmayarak aile hekimi ve muayene olduğu hekimler erişim sağlayabilecektir. Bakanlık, işleme şartlarının oluştuğu durumlarda oluşabilecek hizmet aksaklıkları ve zararlardan sorumlu tutulacaktır.
• Çocukların ve engellilerin sağlık verilerine erişim alanında önemli yenilikler getirilmiştir. Boşanma sürecinde geçici velayet sahibi ebeveyn çocuğun sağlık verilerine erişebilecek, boşanma sonrası nihai velayet sahibi ebeveyn erişim hakkına sahip olacaktır. Velayeti bulunmayan ebeveyn ise başvuru üzerine lokasyon ve iletişim bilgileri çıkarılmış şekilde sadece çocuğun sağlık durumuna ilişkin verileri sınırlı biçimde görüntüleyebilecektir. Ayrıca engelli raporu bulunan kişilere bakım veren kişilere erişim yetkisi tanınmıştır.
• Sağlık verilerinin saklama süresi ölen kişiler bakımından 20 yıldan 30 yıla çıkarılmıştır.
• Yönetmelikte yer alan bazı hükümlerin lafzı değiştirilmiş, bazı maddeler yürürlükten kaldırılmıştır. Değişiklikler yürürlüğe girmiş olup uygulamaya ilişkin hususlar Sağlık Bakanlığı tarafından yürütülecektir.

Yönetmeliğin tamamına bağlantıdan ulaşabilirsiniz : (https://www.resmigazete.gov.tr/eskiler/2025/12/20251203-2.htm )

27.11.2025 tarihli Resmi Gazete’de yayımlanarak yürürlüğe giren Vergi Usul Kanunu Genel Tebliği (Sıra No: 585) ile yeniden değerleme oranı açıklanmıştır.

Yeniden değerleme oranı; vergi oranlarının, harçların, ve para cezalarının güncellenmesinde kullanılmaktadır.  Bu oran, TÜİK’in Yurt İçi Üretici Fiyat Endeksi (Yİ-ÜFE) verilerine dayanılarak, bir önceki yılın aynı dönemine göre Ekim ayında gerçekleşen ortalama fiyat artışı oranına göre hesaplanmakta olup bu tebliğ ile 2025 yılı için yeniden değerleme oranı %25,49 olarak belirlenmiştir.

Belirlenen yeniden değerlendirme oranı uyarınca, 2026 yılında KVKK kapsamındaki yükümlülüklerin ihlal edilmesi halinde uygulanacak idari para cezaları da güncellenmiştir :

• Aydınlatma yükümlülüğünün yerine getirilmemesi halinde 85.437 TL ile 1.709.200 TL,
• Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi halinde 256.357 TL ile 17.092.242 TL,
• Kurul tarafından verilen kararların yerine getirilmemesi halinde 427.263 TL ile 17.092.242 TL,
• VERBİS’e kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi durumunda 341.809 TL ile 17.092.242 TL arasında,
• Standart sözleşmelerin beş iş günü içinde Kurum’a bildirilmemesi halinde ise 90.308 TL ile 1.806.177 TL arasında idari para cezası söz konusu olacaktır.

Tebliğin tamamına erişmek için: https://www.resmigazete.gov.tr/eskiler/2025/11/20251127-4.htm )

Kişisel Verileri Koruma Kurumu, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinin dördüncü fıkrasının (a) bendi uyarınca, uluslararası sözleşme niteliğinde olmayan bir anlaşma kapsamında yurt dışına kişisel veri aktarımına ilk kez izin verildiğini kamuoyuna duyurdu.

Duyuruya göre, aktarım yapılacak ülke için yeterlilik kararı bulunmuyorsa, verilerin Kanun’da öngörülen uygun güvencelerden birinin sağlanması hâli kapsamında, Türkiye’deki kamu kurumları veya kamu kurumu niteliğindeki meslek kuruluşları ile yurt dışındaki kamu kurumları veya uluslararası kuruluşlar arasında yapılan “uluslararası sözleşme niteliğinde olmayan anlaşmalar” gösterildi. Kişisel Verilerin Korunması Kurulu tarafından Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 11. maddesi kapsamında yapılan değerlendirme sonucunda, İçişleri Bakanlığı Göç İdaresi Başkanlığı ile Birleşmiş Milletler Mülteciler Yüksek Komiserliği (UNHCR) arasında yapılan anlaşma ile kişisel verilerin yurt dışına aktarılmasına izin verildi.

Duyurunun tamamına bağlantıdan ulaşabilirsiniz :

( https://www.kvkk.gov.tr/Icerik/8538/uluslararasi-sozlesme-niteliginde-olmayan-anlasma-ile-yurt-disina-kisisel-veri-aktarimina-izin-verilmesi-hakkinda-duyuru )

1 Ekim 2025 tarihli Resmî Gazete’de Kişisel Verileri Koruma Kurulunun 04/09/2025 Tarihli ve 2025/1572 Sayılı Kararı yayımlanmıştır.

KVK Kurulu’nun 04.09.2025 tarihli ve 2025/1572 sayılı kararı ile; ana faaliyet konusu özel nitelikli kişisel veri işleme olan ancak 10’dan az çalışanı ve 10 milyon TL’den az yıllık mali bilançosu bulunan veri sorumlularının da VERBİS kayıt yükümlülüğünden istisna tutulmasına karar verilmiştir.   Bu karar, önceki istisna kriterlerinin (çalışan sayısı ve bilanço sınırları) güncellenerek mikro işletmelerin yükümlülüklerinin hafifletilmesi amacını taşımaktadır.

Kararın tam metnine ilgili bağlantıdan ulaşabilirsiniz : (https://www.resmigazete.gov.tr/eskiler/2025/10/20251001-4.pdf )

Resmî Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun 10.06.2025 tarihli ve 2025/1072 sayılı kararında, Kurul, bazı veri sorumlularının hizmet sunumu sırasında (ödeme yapma, kayıt açma, üyelik oluşturmak vb. işlemler esnasında) kullanıcıya SMS ile doğrulama kodu gönderdiği ve bu doğrulama süreciyle eş zamanlı olarak ticari elektronik ileti izni aldığı yönündeki uygulamaları incelemiştir.

Yapılan değerlendirmede, SMS ile doğrulama kodu gönderiminin yalnızca doğrulama amacıyla sınırlı kalması gerektiği, bunun ticari elektronik ileti izni almak amacıyla kullanılmasının açık rıza şartları bakımından tereddüt doğurduğu ifade edilmiştir.

Kararda, açık rızanın Kanun’da tanımlanan şekliyle belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeye dayanması gerektiği vurgulanmış; doğrulama kodu sürecinde rıza alınıyorsa bunun açık ve anlaşılır şekilde ayrıştırılması ve kullanıcıya gerekli bilgilendirmenin yapılması gerektiği belirtilmiştir.

Kurul, bu tür uygulamalarda kişisel verilerin işlenmesine ve ticari elektronik ileti gönderimine ilişkin süreçlerin ayrıştırılması, açık rızanın ayrıca ve usulüne uygun şekilde alınması gerektiğini hatırlatmış; aksi hâlde 6698 sayılı Kanun kapsamında değerlendirme yapılabileceğini bildirmiştir.

Kararın tamamına yandaki bağlantıdan ulaşabilirsiniz. https://www.resmigazete.gov.tr/eskiler/2025/06/20250626-7.pdf