Seçilmiş Güncel Gelişmeler 48

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), küçük işletmelerin siber güvenliklerini güçlendirmelerine yardımcı olmak amacıyla birtakım tavsiyeler paylaştı[1]. Bu tavsiyeler arasında;

  • Verilerin düzenli olarak yedeklenmesi ve bu yedeklerin çalıştığından emin olunması,
  • Güçlü parolalar kullanılması ve mümkün olan durumlarda çok faktörlü kimlik doğrulamanın uygulanması,
  • Özellikle kalabalık ve halka açık ortamlarda söylenenlere ve ekranda açık olan belgelere dikkat edilmesi,
  • Şüpheli e-postalara karşı dikkatli olunması ve bu konuda çalışanların bilinçlendirilmesi,
  • Cihazlarda anti-virüs ve kötü amaçlı yazılımlara karşı koruma sağlayan yazılımların bulundurulması ve bunların güncel tutulması,
  • Cihaz başından kısa süreli ayrılmalarda ekranın kilitlenmesi ve uzun süreli ayrılmalarda ise cihazın güvenli bir şekilde muhafaza edilmesi,
  • Wi-Fi bağlantısının güvenli olduğundan emin olunması,
  • Çalışanların yalnızca görevleriyle ilgili bilgilere erişebilmesini sağlamak amacıyla erişim kontrollerinin uygulanması,
  • Çevrim içi toplantılarda ekran paylaşımı öncesinde gereksiz sekme/belgelerin kapatılması ve bildirimlerin devre dışı bırakılması,
  • Birden fazla kişiye e-posta gönderirken alıcıların gizliliğini korumaya özen gösterilmesi ve güvenli toplu e-posta yöntemlerinin değerlendirilmesi,
  • Kişisel verilerin yalnızca gerekli olduğu süre boyunca saklanması,
  • Eski bilgi teknolojisi ekipmanları ve kayıtların kişisel veri bırakmayacak şekilde güvenli biçimde imha edilmesi gibi hususlar yer almaktadır.

 

* Fransa Veri Koruma Otoritesi (CNIL), okullarda kullanılan video gözetim cihazları aracılığıyla veri işlenmesine ilişkin olarak yol gösterici mahiyette bir içerik yayımladı[2]. Bu kapsamda, bu tür cihazlar kurulurken hangi önlemlerin alınması gerektiği, bir kuruma kamera kurulup kurulmayacağına kimin karar vereceği, kaydedilen görüntülere kimlerin erişebileceği, görüntülerin ne kadar süre ile saklanabileceği ve görüntüleri kaydedilen bireylere hangi bilgilerin sağlanması gerektiği gibi hususlarda açıklamalarda bulunulmaktadır.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), yasal düzenlemelerin çerezler veya takip pikselleri gibi depolama ve erişim teknolojilerine uygulanmasına ilişkin olarak yaygın şekilde karşılaşılan yanlış anlaşılmaların giderilmesine yönelik bir içerik yayımladı[3].

 

* Hollanda Veri Koruma Otoritesi (AP), 2024 yılı içerisinde Kuruma iletilen şikâyet türlerinin ve bu şikâyetlerin nasıl ele alındığının incelendiği bir rapor yayımladı[4]. Bu çerçevede Kuruma iletilen şikâyetlerin önemli bir bölümünü; kişisel verilerin hukuka aykırı şekilde işlenmesi, kişisel verilerin silinmesi ve erişim hakkı kapsamında yer alan talepler başta olmak üzere ilgili kişilere tanınan hakların kullanılması ve vatandaşlar ile kuruluşlar tarafından gerçekleştirilen CCTV gözetimine dair hususların oluşturduğu belirtilmektedir.

Diğer yandan Otorite tarafından, kapı zili kameralarına ilişkin ayrı bir bilgilendirme de yayımlandı[5]. Bu bilgilendirmede, komşuların kapı zilleri veya güvenlik kameralarından kaynaklanan mahremiyet ihlalleri konusunda artan şikâyetlere dikkat çekilerek bireylere bu tür kameraların kullanımına ilişkin yol gösterici bilgiler sunulmakta ve üreticilerin söz konusu cihazları varsayılan olarak mahremiyet dostu olacak şekilde yapılandırmalarının önem taşıdığı vurgulanmaktadır.

 

* Avrupa Veri Koruma Kurulu (EDPB), Dijital Hizmetler Tüzüğü (DSA) ile Genel Veri Koruma Tüzüğü (GDPR) arasındaki etkileşime ilişkin bir rehber yayımladı ve bu rehbere ilişkin geri dönüşlerin 31.10.2025 tarihine kadar iletilebileceğini duyurdu[6].

 

* Avrupa Veri Koruma Denetçisi (EDPS), AB kurumları, organları, ofisleri ve ajanslarına yönelik olarak gerçekleştirilen anket neticesinde, veri koruma etki değerlendirmelerine (DPIA) ilişkin eğilimlerin ve birtakım sonuçların ortaya konulduğu bir rapor yayımladı[7].

 

* AB Veri Tüzüğü (Data Act), 12.09.2025 tarihi itibarıyla uygulanmaya başlandı ve Avrupa Komisyonu tarafından, düzenlemenin uygulanmasına destek olmak üzere çeşitli paydaşların katkılarıyla hazırlanan sıkça sorulan sorular dokümanı yayımlandı[8].

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), kişisel verilerin güvenli bir şekilde işlenmesini sağlamaya yönelik teknik bir önlem olan “şifreleme” yöntemine ilişkin rehberi, alınan kamuoyu görüşlerinin ardından yayımladı[9]

 

* Dünya Ekonomik Forumu, sentetik verilerin dönüştürücü potansiyelini göz önünde bulundurmak suretiyle bu verilerin temel türlerinin, kullanım senaryolarının ve yönetişimine ilişkin hususların ele alındığı raporunu yayımladı[10].

 

* Avustralya’da Dijital Platform Düzenleyicileri Forumu (DP-REG), kullanıcıların dijital içeriklerle üç boyutlu etkileşim ve deneyim yaşamasına imkân tanıyan sürükleyici (immersive) teknolojilerin; gizlilik, tüketicinin korunması, rekabet, medya ve bilgi ortamı ile çevrim içi güvenlik üzerindeki etkileri ve bu teknolojilere ilişkin güncel gelişmelerin incelendiği bir çalışma yayımladı[11].

 

* Hollanda, Macaristan, İtalya ve Lihtenştayn veri koruma otoritelerinin ortak çalışması neticesinde, akıllı televizyonlara ilişkin bir araştırma raporu yayımlandı[12]. Tüketiciler bakımından büyük ölçüde görünmez nitelikte olan veri akışlarının teknik açıdan incelendiği raporda; cihazların kurulumundan kapalı konuma getirilmesine kadar farklı aşamalarda sürekli bir şekilde veri ilettiği, internet bağlantılı televizyonların faaliyet gösterdiği ekosistemin çok paydaşlı ve şeffaf olmayan bir yapıya sahip olduğu, çok sayıda taraf bulunmasının veri sorumluluğunun tespiti ve rollerin dağılımı konusunda zorluklar ortaya çıkardığı, kullanıcıların çoğu durumda kullanım koşullarını kabul etmek dışında gerçekçi bir seçeneğe sahip olmadıkları, cihazlara önceden yüklenmiş silinemeyen uygulamaların varlığının veri minimizasyonu ilkesi ile ilgili kişilerin haklarının etkin kullanımı açısından önemli endişelere yol açtığı yönündeki genel gözlemlere yer verilmektedir.

 

* Birleşik Krallık Veri Koruma Otoritesi (ICO), dağıtık defter teknolojilerine ilişkin hazırlanan taslak rehberin kamuoyu görüşüne açıldığını ve bu rehbere ilişkin geri dönüşlerin 07.11.2025 tarihine kadar iletilebileceğini duyurdu[13].

 

* Avrupa Komisyonu, kritik yapay zekâ vakalarına ilişkin taslak rehber ile raporlama şablonu yayımladı ve bunlara yönelik olarak paydaşlardan geri bildirim beklendiğini duyurdu[14].

 

* Avrupa Parlamentosu Araştırma Servisi (EPRS), bu yılın nisan ayı içerisinde Avrupa Komisyonu tarafından yayımlanan “AI Continent Action Plan” başlıklı eylem planına ilişkin bilgilendirme dokümanı yayımladı[15].

 

* İtalya, AB Yapay Zekâ Tüzüğü’nü tamamlayıcı nitelikte ulusal bir yasayı onaylayan ilk AB üyesi ülke oldu[16].

* UNESCO, yapay zekânın eğitim üzerindeki etkisinin ortaya çıkardığı felsefi, etik ve pedagojik ikilemlerin ele alındığı, 21 çalışmadan oluşan “Yapay Zekâ ve Eğitimin Geleceği: Yıkıcı Etkiler, İkilemler ve Yönelimler” başlıklı derlemeyi yayımladı[17].

 

* Avrupa Birliği Adalet Divanı (ABAD) C-413/23 sayılı kararında, psödönim verilerin üçüncü taraflara aktarılması bağlamında “kişisel veri” kavramının kapsamına açıklık getirdi[18]. Bu bağlamda özetle ABAD, psödönim verilerin her durumda ve her alıcı bakımından kişisel veri olarak nitelendirilemeyeceğini; bunun, ilgili kişinin makul surette yeniden tanımlanabilir olup olmadığının somut olayın koşulları çerçevesinde değerlendirilmesine bağlı olduğunu vurguladı.

 

* Avusturya Federal İdare Mahkemesi, Der Standard gazetesinin internet sitesinde uyguladığı “öde veya rıza göster” modelinin AB Genel Veri Koruma Tüzüğü’ne (GDPR) aykırılık teşkil ettiğine karar verdi[19]. Bu doğrultuda Mahkeme, Avusturya Veri Koruma Otoritesi’nin (DSB) 2023 yılında verdiği kararı teyit etti.

DSB söz konusu kararında, Avusturya’nın en çok okunan gazetelerinden birinin bu yaklaşımının hukuka aykırı olduğunu ve kullanıcıların belirli türdeki işleme faaliyetlerine ayrı ayrı rıza verebilmesi gerektiğini vurgulamıştır. Der Standard ise DSB’nin bu kararına itiraz ederek, bu nitelikteki rızaların “öde veya rıza göster” modeli çerçevesinde uygulanabilir olmadığını, zira ücretsiz erişim modelinde reklam gelirinin sürdürülebilmesi için kullanıcıların takibinin ve istatistiksel verilerin toplanmasının zorunlu olduğunu ileri sürmüştür. Ancak Federal İdare Mahkemesi bu argümanı kabul etmemiş ve DSB’nin kararını onaylamıştır. Mahkeme, karara karşı başvuru yolunu açık bırakmış olup uyuşmazlığın Avrupa Birliği Adalet Divanı’na taşınması beklenmektedir.

 

* Kurumumuz tarafından üç aylık periyotlar halinde hazırlanan KVKK Bülten’in “Sosyal Medyada Kişisel Verilerin Korunması” konulu 9. sayısı yayımlandı[20]. Bu sayıda;

  • “Sosyal Medyanın İki Yüzü: İletişim Özgürlüğü ve Mahremiyetin Daralan Sınırları” başlıklı köşe yazısı
  • Sosyal Medyada Öne Çıkan Platform Türleri
  • “Sosyal Medyada Kişisel Verilerin Korunmasına İlişkin Bir Araştırma” başlıklı makale
  • Mobil Uygulamalarda Kişisel Verileri İşleyen Taraflara Yönelik Tavsiyeler
  • “Kamu Kurumlarına Yönelik Kurumsal Sosyal Medya Kullanım Rehberi” Kapsamında Kişisel Verilerin Korunması
  • Sosyal Medyada Ebeveyn Paylaşımları (Sharenting)
  • Çocukların Sosyal Medya Kullanımında Ebeveynlere Yönelik Tavsiyeler
  • Daha Güvenli Bir Sosyal Medya Kullanımı İçin…
  • Kişisel Verilerin Korunması ile İlgili Öne Çıkan Gelişmeler
  • Bizden Haberler başlıkları yer almaktadır.

 

 

[1] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/09/information-commissioner-s-office-shares-cyber-security-tips-for-small-businesses/, 17.09.2025.

[2] https://www.cnil.fr/fr/les-dispositifs-video-dans-les-etablissements-scolaires, 12.09.2025.

[3] https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/09/fact-vs-fiction-ico-debunks-myths-on-storage-and-access-technologies/, 11.09.2025.

[4] https://www.autoriteitpersoonsgegevens.nl/documenten/rapportage-klachten-2024, 23.09.2025.

[5] https://www.autoriteitpersoonsgegevens.nl/actueel/camera-van-de-buren-grote-ergernis-ap-wil-preventieve-aanpak-deurbelcameras, 23.09.2025.

[6] https://www.edpb.europa.eu/news/news/2025/interplay-between-dsa-and-gdpr-edpb-adopts-guidelines_en, 12.09.2025.

[7] https://www.edps.europa.eu/data-protection/our-work/publications/reports/2025-09-08-edps-report-dpia-survey-2024-eu-institutions-bodies-offices-and-agencies_en, 08.09.2025.

[8] https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act, 06.09.2025.

[9] https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/encryption/, 02.09.2025.

[10] https://reports.weforum.org/docs/WEF_Synthetic_Data_2025.pdf, Eylül 2025.

[11] https://www.oaic.gov.au/news/media-centre/digital-platform-regulators-release-working-paper-on-immersive-technologies, 24.09.2025.

[12] https://www.autoriteitpersoonsgegevens.nl/documenten/rapport-verkennend-onderzoek-smart-tvs, 23.09.2025.

[13] https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/2025/08/ico-consultation-on-draft-guidance-on-distributed-ledger-technolologies/, 28.08.2025.

[14] https://digital-strategy.ec.europa.eu/en/consultations/ai-act-commission-issues-draft-guidance-and-reporting-template-serious-ai-incidents-and-seeks, 26.09.2025.

[15] https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2025)775923, 22.09.2025.

[16] https://iapp.org/news/a/italy-becomes-first-eu-member-state-to-pass-an-ai-law, 24.09.2025.

[17] https://www.unesco.org/en/articles/ai-and-future-education-disruptions-dilemmas-and-directions, 02.09.2025.

[18] https://curia.europa.eu/jcms/upload/docs/application/pdf/2025-09/cp250107en.pdf, 04.09.2025.

[19] https://www.euronews.com/next/2025/08/19/austrian-newspapers-pay-or-consent-model-violates-eu-privacy-rules-court, 19.08.2025.

[20] https://kvkk.gov.tr/SharedFolderServer/CMSFiles/05a40150-8405-4cba-b7a9-a069c2580225.pdf, Eylül 2025.