Bize Ulaşın

Email
kvkk@andisdanismanlik.com
Telefon
0212 909 55 87

Bizi Takip Edin

Bize Ulaşın
Bize Ulaşın

Kişisel Verilerin Korunması Haber Bülteni

Anasayfa / Blog / Kişisel Verilerin Korunması Haber Bülteni
Kişisel Verilerin Korunması Haber Bülteni

KVKK Kurulu İlke Kararları

SMS ile Doğrulama Kodu Uygulamasına İlişkin Karar: 

Kişisel Verileri Koruma Kurulu, 10.06.2025 tarih ve 2025/1072 sayılı İlke Kararı ile ürün ve hizmet sunumu sırasında tek bir SMS doğrulama kodu üzerinden birden fazla işlemin onaylanması uygulamasını hukuka aykırı buldu[1]. Kararda, mağazalarda veya çevrim içi hizmetlerde üyelik, sözleşme onayı, kişisel veri işleme izni ve ticari elektronik ileti izni gibi birbirinden farklı işlemlerin tek seferde, tek bir SMS koduyla gerçekleştirilemeyeceği belirtildi[2]. Bu tür uygulamalarda ilgili kişiye yeterli aydınlatma yapılmadığı ve açık rızanın (belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay) hukuka uygun şekilde alınmadığı tespit edilmiştir[3][4]. Kurul, veri sorumlularının aydınlatma yükümlülüğüne uyması ve her bir işleme faaliyeti için ayrı ayrı açık rıza alması gerektiğini vurgulamıştır. Örneğin, bir üyelik işlemi sırasında kullanıcıya gönderilen SMS kodunun amacı ve sonuçları hakkında önceden net bilgi verilmeli; üyelik onayı, pazarlama izni ve benzeri farklı konulardaki izinler birbirinden bağımsız şekilde alınmalıdır[5]. Kurul ayrıca, hizmet sunumunun tamamlanabilmesi için ticari ileti izninin zorunlu tutulmasının hukuka aykırı olduğunu, bu tür koşullar dayatan veri sorumlularının idari yaptırımlarla karşılaşabileceğini belirtmiştir[6][7].

Borç Bilgisinin Üçüncü Kişilerle Paylaşılmasına Dair Uyarı: 

Kurul, Ağustos 2025’te yayımladığı bir kamuoyu duyurusuyla alacak tahsili süreçlerinde borçluların yakınlarına bilgi verilmesini de mercek altına aldı. Kurum’a iletilen şikâyetlere göre bazı alacaklı vekilleri, borçlu kişilere ait borç bilgilerini borçlunun yakınının telefon numarasını arayarak paylaşmıştır[8]. Kurul, ilgili kişinin rızası olmadan veya Kanun’da öngörülen diğer bir hukuki işleme şartı bulunmadan, borçluya ait kişisel verilerin üçüncü kişilere aktarılmasının 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) aykırı olduğunu vurguladı[9]. Nitekim kişisel veri kavramı, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi anlamına gelmektedir[10]. Bu kapsamda borçlu yakınının telefon numarası veya borç bilgisi de kişisel veridir. Kurul’un duyurusunda, söz konusu uygulamanın hukuka uygun veri işleme ilkelerini ve veri güvenliği yükümlülüklerini ihlal ettiği, borçlunun yanı sıra ilgisiz üçüncü kişinin haklarını da zedelediği ifade edildi[11]. Veri sorumlularının, borç tahsilatı süreçlerinde dahi, borçlunun yakınları gibi üçüncü kişilerin bilgilerinin gizliliğine saygı göstermesi gerektiği belirtildi. Aksi takdirde Kanun’un 12. maddesi kapsamındaki veri güvenliğine ilişkin tedbirleri almayan ve 18. madde kapsamındaki fiilleri işleyen sorumlular hakkında idari para cezaları uygulanabileceği hatırlatıldı[12][13]. Kurul, hem borçlu bireylerin hem de borçla ilgisi olmayan kişilerin kişisel verilerinin korunmasının önemine dikkat çekerek bu konuda tüm tarafları uyardı.

  • Not: 6698 sayılı Kanun’un 3. maddesine göre kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir[10]. Aynı madde uyarınca açık rıza ise belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza anlamına gelir[4]. Kurul’un yukarıdaki ilk kararları, veri sorumlularının bu tanımlara uygun davranması gerektiğini bir kez daha göstermiştir.

Veri İhlali Bildirimleri

Türk Tabipleri Birliği (TTB) Veri İhlali: 

Kişisel Verileri Koruma Kurulu, Kanun’un 12(5) maddesi uyarınca yapılan bildirimler çerçevesinde 2025 yılı Ağustos ayında iki büyük veri ihlalini kamuoyuna duyurdu. Bunlardan ilki, Türk Tabipleri Birliği’ne (TTB) yönelik gerçekleşen siber saldırıdır. TTB’nin Kurul’a ilettiği veri ihlal bildirimine göre 8 Ağustos 2025 tarihinde belirsiz kişi ya da gruplar tarafından TTB’nin bilgi sistemlerine bir siber saldırı düzenlendi[14]. Saldırının nasıl gerçekleştirildiği henüz tespit edilememiş olmakla birlikte, saldırı neticesinde sistemde yer alan kayıtlı dosyalara yetkisiz erişim sağlandığı ve dosyaların silindiği anlaşılmıştır. İhlalden etkilenen ilgili kişi gruplarının TTB çalışanları, çevrim içi kullanıcılar ve tabip odalarına kayıtlı üyeler olduğu; etkilenen kişisel veri kategorilerinin ise kimlik, iletişim, lokasyon, hukuki işlem ve işlem güvenliği bilgilerini içerdiği bildirilmiştir[15]. Üye veri tabanına erişimin zorluğu nedeniyle ihlalden etkilenen kişi sayısı henüz net olarak belirlenememiş, ancak 107.000 civarında kişinin etkilenmiş olabileceği tahmin edilmektedir[16]. Konuya ilişkin inceleme sürmekte olup Kişisel Verileri Koruma Kurulu’nun 14.08.2025 tarih ve 2025/1514 sayılı Kararı ile bu veri ihlal bildirimine ilişkin özet bilgiler Kurumun internet sitesinde yayınlanmıştır[17]. TTB olayında, özellikle sağlık mesleği mensuplarının ve hastaların bilgilerinin hedef alınmış olması, kişisel veri güvenliğinin önemini bir kez daha ortaya koymuştur.

Biletal Veri İhlali: 

İkinci veri ihlali olayı, biletleme ve rezervasyon hizmetleri sunan Biletal İç ve Dış Ticaret A.Ş. adlı şirkette gerçekleşti. Kurul’a bildirilen ihlal özetine göre şirketin sisteminde yer alan bazı müşteri verileri, siber saldırganlar tarafından ele geçirilerek internet üzerindeki yasa dışı platformlarda satışa sunuldu[18]. İhlal, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından şirkete iletilen bir uyarı yazısı üzerine yapılan inceleme sonucu 11 Ağustos 2025 tarihinde tespit edildi[19]. Saldırı sonucu şirket müşterilerine ait kimlik, iletişim ve müşteri işlem verilerinin ifşa olduğu anlaşıldı. İhlalden etkilenen ilgili kişi grubunun şirketin müşterileri ile sınırlı olduğu ve yaklaşık 7.800 kişinin kişisel verilerinin etkilendiği tahmin edilmektedir[20]. Bu ihlal bildirimi de Kurul’un 14.08.2025 tarih ve 2025/1481 sayılı Kararı ile Kurumun internet sitesinde duyurulmuştur[21]. Kurul her iki olayda da incelemenin devam ettiğini belirtmiş ve veri sorumlularının Kanun’un 12. maddesi gereğince en kısa sürede ihlal bildiriminde bulunma yükümlülüğünü yerine getirmesini sağlamıştır[22].

Her iki ihlal olayı, farklı sektörlerde faaliyet gösteren kurumların siber güvenlik zaafiyetlerinin ciddi sonuçlar doğurabileceğini göstermiştir. Özellikle TTB olayında sağlık alanındaki üyelik ve çalışan bilgilerinin hedef alınması, özel nitelikli kişisel verilerin (örn. sağlık verileri) korunmasının önemini vurgulamaktadır. Biletal vakasında ise müşteri bilgilerinin karaborsada satışa çıkarılması, kişisel verilerin yasa dışı paylaşımının bireyler açısından yaratabileceği risklere (kimlik hırsızlığı, dolandırıcılık vb.) dikkat çekmektedir. Kurul, veri sorumlularının teknik ve idari tedbirleri alarak benzeri ihlallerin önüne geçmesi gerektiğini ve ihlal durumunda gecikmeksizin Kurum’a bildirim yapmalarını bir kez daha hatırlatmıştır.


Mevzuat ve Yargı

AYM Kararı – Sağlık Verilerinin Annesine Aktarılması: 

Anayasa Mahkemesi (AYM), 20/3/2025 tarihli Genel Kurul kararıyla (Resmî Gazete’de 5 Ağustos 2025’te yayımlanan) bireysel başvuru kapsamında önemli bir ihlal tespit etti[23][24]. Başvurucu C.Ö., bir psikiyatri doktoru (H.C.) tarafından 2010 yılında tedavi görmüş, ancak 2016 yılında annesinin talebi üzerine doktor tarafından C.Ö.’nün tedavi sürecine ait rapor annesine teslim edilmiştir[25]. Başvurucu, annesiyle arasında menfaat çatışması bulunduğu bir durumda özel nitelikli sağlık bilgilerinin rızası olmadan annesine verilmesini “hasta mahremiyetinin ihlali” olarak değerlendirip doktora karşı şikâyette bulunmuştur[26]. Doktor hakkında açılan ceza davası TCK 136 kapsamında sonuçsuz kalmış (yerel mahkeme beraat kararı vermiştir)[27]. Bunun üzerine başvurucu, kişisel verilerinin korunması hakkının ihlal edildiği iddiasıyla AYM’ye bireysel başvuru yapmıştır.

AYM, özel hayata saygı hakkı kapsamındaki kişisel verilerin korunmasını isteme hakkının (Anayasa md.20) somut olayda ihlal edildiğine hükmetti[23]. Kararın gerekçesinde, hasta yakınlarının bilgilendirilmesinin ancak çok istisnai ve tehlikeli durumlarda mümkün olabileceği, buna karşılık başvuruya konu olayda bilgilendirmenin ötesine geçilerek ergin hastanın hassas sağlık verilerinin, rızası olmadan –annesi bile olsa– üçüncü kişiye verilmesinin mahremiyet sınırını aştığı belirtildi[28]. Mahkeme, başvurucunun annesiyle husumetinin bulunduğunu ve tedavinin üzerinden 6 yıl geçtikten sonra bu verilerin paylaşılmasının acil bir gereklilikle açıklanmadığını vurgulayarak, derece mahkemelerinin kişisel veri koruması lehine pozitif yükümlülüklerini yerine getirmediğine karar vermiştir[29][30]. 

Sonuç olarak AYM, veri sorumlusu konumundaki doktor hakkında etkili bir ceza soruşturması yürütülmemesi nedeniyle başvurucunun Anayasa m.20 kapsamındaki hakkının ihlal edildiğine karar vermiştir[23]. Bu karar, sağlık gibi özel nitelikli verilerin hasta rızası olmaksızın aile bireyleriyle dahi paylaşılmasının ciddi bir ihlal oluşturabileceğini ve yargı makamlarının bu tür durumlarda bireylerin kişisel veri mahremiyetini koruma görevini hatırlatmaktadır.

Yargıtay Kararı – CD Paylaşımı ve Kişisel Veri Suçu: 

Yargıtay 12. Ceza Dairesi, kişisel verilerin hukuka aykırı olarak başkalarına verilmesi suçuna (TCK 136) ilişkin emsal niteliğinde bir karar verdi. Somut olayda, bir şirket yetkilisi, borç ilişkisinde sahtecilik yapıldığını iddia ederek karşı tarafla yaptığı yüz yüze konuşmaları gizlice kaydetmiş ve bu ses kayıtlarını bir CD’ye aktarıp delil olarak savcılığa sunmuştur[31]. Yerel mahkeme, sanığı “verileri hukuka aykırı olarak verme” suçundan beraat ettirmiş; savcılık kararı temyiz edince dosya Yargıtay’ın önüne gelmiştir[32]. Yargıtay 12. CD, 18.09.2019 tarih ve 2015/1672 sayılı kararında sanığın eylemini değerlendirmiş ve kişisel verileri hukuka aykırı verme/yayma suçunun unsurlarının oluşmadığına hükmederek beraat kararını onamıştır[33]. Kararda, sanığın kaydettiği konuşma içeriklerini sadece yasal mercilere (yargı dosyasına) teslim ettiği, bunları üçüncü kişilerle paylaşmadığı veya umuma yaymadığı vurgulanmıştır[33]. Ayrıca sanığın amacının, iddia ettiği “resmi belgede sahtecilik” suçunu ispatlamak olduğu, hukuka aykırı bir kastla hareket etmediğinin anlaşıldığı belirtilmiştir[34]. Yargıtay, bu gerekçelerle sanığın kişisel verileri hukuka aykırı ele geçirme veya yayma suçunu işlemediğine karar vermiştir.

Bu karar, hukuka uygunluk sebeplerine işaret etmesi bakımından önemlidir. Kişiler, bazı durumlarda haklarını savunmak için üçüncü kişilerle yaptıkları görüşmeleri kaydedip yargı makamlarına sunabilmektedir. Yargıtay’ın yaklaşımına göre eğer bu kayıtlar sadece delil amaçlı kullanılır ve yetkisiz kimselere ifşa edilmezse, her ne kadar kayıt içeriği kişisel veri niteliğinde olsa da (örneğin karşı tarafın kimlik veya iletişim bilgileri, sesli beyanları vb. kişinin özel bilgileri sayılabilir[35]), TCK 136 kapsamındaki suçun oluşmayabileceği değerlendirilir. Elbette her somut olay kendi koşullarına göre incelenecektir; Yargıtay da kararında “her türlü kişisel verinin hukuka aykırı olarak başkasına verilmesinin suç oluşturacağını, ancak somut olayın özelliklerine göre hukuka uygunluk nedenlerinin bulunup bulunmadığının titizlikle değerlendirilmesi gerektiğini” vurgulamıştır[36][37]. Bu da demektir ki, genel olarak herkesçe bilinen bilgiler dahi yasal anlamda kişisel veri kabul edilse de kişisel verilerle ilgili ceza yargılamalarında ölçülülük ve amaç unsuru göz önüne alınacaktır.

Özetle, AYM ve Yargıtay kararları kişisel verilerin korunması alanında hem anayasal hem de ceza hukuku boyutunda önemli mesajlar içermektedir. AYM, devletin kişisel veri mahremiyetini koruma yükümlülüğünü teyit ederken; Yargıtay, kişisel veri kavramının geniş yorumlanması gerektiğini ancak her veri paylaşımının otomatik olarak suç sayılmaması için somut olayın dikkatle incelenmesini öğütlemiştir.

Uyum Önerileri

Kişisel verilerin korunması mevzuatına uyum sağlamak ve veri ihlali risklerini azaltmak için kurumların alabileceği basit ancak etkili bazı önlemler şunlardır:

  • Toplu E-posta Gönderiminde Gizli Alıcı (BCC) Kullanımı: Birden fazla alıcıya aynı anda e-posta gönderirken tüm alıcıların e-posta adreslerini “Kime” veya “CC” alanında herkesin görebileceği şekilde yazmak, kişisel verilerin izinsiz ifşası anlamına gelebilir. Nitekim e-posta adresleri de bir gerçek kişiyi tanımladığı için kişisel veri sayılır[38]. Bu nedenle toplu e-posta gönderimlerinde BCC alanı (“gizli karbon kopya”) kullanılmalı, böylece alıcı listesi diğer alıcılara görünmemelidir. Kişisel Verileri Koruma Kurumu, geçmiş kararlarında bu ihlale dikkat çekmiş ve bir danışmanlık firmasına müşterilerinin e-posta adreslerini açık şekilde paylaşması nedeniyle yaptırım uygulamıştır (Kurul Kararı 2024/941).  Özetle: Alıcı listelerini gizlemek, hem müşterilerin mahremiyetini korur hem de sizi olası idari cezalardan korur.


  • OTP ve Tek Kullanımlık Şifre Uygulamaları: Tek kullanımlık parolalar (One-Time Password, OTP), kullanıcı oturum açma işlemlerinde ikinci aşama güvenlik olarak yaygın biçimde kullanılmaktadır. OTP sistemleri, statik şifrelere göre çok daha güvenli olup, çalınan parolaların tekrar kullanılmasını önleyerek sahte oturum açma girişimlerini ve veri hırsızlığı riskini en aza indirir[39]. Örneğin, çevrim içi bankacılık veya kurumsal VPN erişimlerinde kullanıcıya SMS/E-posta yoluyla iletilen tek seferlik kodlar, hesabın gerçekten ilgili kişiye ait olduğunu doğrular. İki faktörlü kimlik doğrulama yöntemlerinin bir parçası olan OTP, kişisel verilere yetkisiz erişimi zorlaştırdığı için KVKK kapsamında veri güvenliği tedbiri olarak değerlendirilebilir. Ancak OTP uygulamalarını hayata geçirirken dikkat edilmesi gereken bazı hususlar vardır: Birincisi, OTP hizmeti dışarıdan bir sağlayıcıdan alınıyorsa, kullanıcıların telefon numarası veya e-posta adresi gibi verileri bu üçüncü tarafa iletilmektedir. Bu durumda veri sorumlusu, ilgili üçüncü tarafla veri işleme sözleşmesi yaparak verilerin korunmasını sağlamalı ve eğer yurt dışına aktarım söz konusuysa Kanun’un 9. maddesindeki yurt dışına veri aktarımı şartlarına (açık rıza veya yeterli koruma tedbirleri gibi) uygun hareket etmelidir. İkincisi, OTP mesajlarının içeriğinde gereğinden fazla kişisel bilgi bulundurmamak ve mesajları kriptografik olarak korumak da önemlidir. Örneğin, tek kullanımlık kod gönderilen SMS/e-postada kullanıcı adı, şifre veya hassas bilgi yer almamalı; sadece doğrulama kodu ve kısa bir açıklama bulunmalıdır. Son olarak, OTP’nin kullanıldığı mobil uygulama veya sistem arayüzlerinin güvenliği de sağlanmalı, kodların tahmin edilebilir olmaması için güçlü algoritmalar kullanılmalı ve kod geçerlilik süreleri kısa tutularak risk minimize edilmelidir.


  • Veri Maskeleme ve Minimizasyon:  Özellikle finans ve sağlık sektöründe, günlük işlemlerde kullanılan belgelerde veya ekranlarda gereksiz kişisel verileri göstermemek önemlidir. Örneğin, bir müşteri listesinde yalnızca gerekli sütunları paylaşmak, TC kimlik numarası veya tüm doğum tarihini ifşa etmemek (maskeleme yapmak) suretiyle veri minimizasyonu sağlanmalıdır. KVKK’nın “minimalizm” ilkesi gereği, bir amaç için ne kadar az veri işlenirse o kadar iyi korunma sağlanır. Bu yaklaşım, olası bir ihlalde etkilenecek veri miktarını da azaltır. Aynı şekilde, şirket içi erişim yetkileri gözden geçirilmeli, her çalışan sadece görevine uygun verilere erişebilmelidir (role-based access control). Bu tür idari tedbirler, veri sızıntılarının önüne geçmek için basit ama etkili uyum adımlarıdır.


  • Düzenli Farkındalık Eğitimleri: Kişisel veri güvenliğinde en zayıf halka çoğu zaman insan faktörü olmaktadır. En gelişmiş teknik sistemler bile, eğer kullanıcılar temel güvenlik kurallarına uymazsa ihlale maruz kalabilir. Bu nedenle kurumlar, çalışanlarına düzenli olarak KVKK ve bilgi güvenliği eğitimleri vermelidir. Eğitimlerde güçlü şifre kullanımı, kimlik avı (phishing) e-postalarına karşı dikkat, taşınabilir cihazlarda veri koruma, şirket politikalarına uyum gibi konular ele alınmalıdır. Özellikle kişisel veri işleyen departman çalışanlarının KVKK’daki aydınlatma metni hazırlama, açık rıza alma, veri imha gibi yükümlülükler konusunda güncel bilgi sahibi olması sağlanmalıdır. Kurum içinde gizlilik kültürü oluşturmak, sadece cezalardan kaçınmak için değil, marka itibarı ve müşteri güveni için de kritiktir.

Yukarıdaki uyum önerileri, her ölçekten kuruluşun uygulayabileceği pratik adımları içermektedir. Unutulmamalıdır ki, KVKK ihlallerine karşı uygulanacak idari para cezaları her yıl artmakta ve veri güvenliği ihlallerinin maddi/manevi sonuçları ağırlaşmaktadır. Dolayısıyla “önlemek, düzeltmekten daha ucuzdur” prensibiyle hareket ederek teknik ve idari uyum tedbirlerine öncelik vermek gerekir.

Güncel Para Cezaları

2025 Yılı İdari Para Cezası Tutarları: 

Kişisel Verileri Koruma Kurumu, 2025 yılı için uygulanacak idari para cezalarının tutarlarını 03.01.2025 tarihinde yayımladığı duyuru ile güncelledi[40]. Her yıl sonunda TÜİK tarafından ilan edilen yeniden değerleme oranı (2024 yılı için %43,93) doğrultusunda, Kanun kapsamında öngörülen ceza alt ve üst limitleri bu oranda artırılmıştır[40].

  • Aydınlatma yükümlülüğünün ihlali: Kanun’un 10. maddesindeki aydınlatma yükümlülüğünü yerine getirmeyen veri sorumlularına verilebilecek ceza, en az 68.083 TL, en fazla 1.362.021 TL olarak belirlenmiştir[41]. (2024 yılında bu tutarlar ~47 bin TL – 942 bin TL idi; görülüyor ki ciddi bir artış söz konusu.)
  • Veri güvenliği yükümlülüklerinin ihlali: Kanun’un 12. maddesine aykırı hareket eden (yani kişisel verilerin güvenliğini sağlamayan, hukuka aykırı erişim ve ifşayı önlemeyen) veri sorumlularına uygulanacak cezalarda üst sınır ilk kez 8 haneli rakamlara ulaşmıştır. Buna göre ceza alt sınırı 204.285 TL, üst sınırı 13.620.402 TL olarak güncellenmiştir[42]. Özellikle büyük ölçekli şirketler için milyon TL seviyesinde para cezaları söz konusu olabilecektir.
  • Kurul kararlarına uyulmaması: KVKK Kurulu’nun verdiği talimatları, kararları yerine getirmeyenlere uygulanacak ceza da benzer biçimde 340.476 TL – 13.620.402 TL aralığına yükseltilmiştir[43].
  • VERBİS’e kayıt ve bildirim yükümlülüğüne aykırılık: Veri Sorumluları Siciline kayıt olması gerektiği halde süresinde kayıt yaptırmayan veya bildirim yapmayan sorumlular için ceza alt sınırı 272.380 TL, üst sınır 13.620.402 TL olarak belirlenmiştir[44].
  • Yurtdışına veri aktarım sözleşmelerinin bildirilmemesi: 2023 yılında yapılan yasal değişikliklerle getirilen yükümlülük uyarınca, kişisel verilerin yurtdışına aktarımında Kurulca onaylanmış standart sözleşmelerin Kurum’a bildirilmemesi de yaptırıma bağlanmıştır. Bu yükümlülüğe aykırılık hâlinde 2025 yılı itibarıyla 71.965 TL – 1.439.300 TL aralığında idari para cezası söz konusu olacaktır[45].

Yukarıdaki tutarlar, 6698 sayılı Kanun’un 18. maddesinde belirtilen ihlal fiilleri için uygulanacak güncel ceza aralıklarıdır. Dikkat çekici bir diğer bilgi, Kurum tarafından açıklanan 2024 yılı toplam ceza tutarıdır: 2024 yılında KVKK kapsamındaki ihlaller nedeniyle çeşitli şirket ve kurumlara toplam 552.668.000 TL (552,7 milyon TL) idari para cezası uygulanmıştır[46]. Bu astronomik tutar, KVKK yaptırımlarının ne denli ciddi boyuta ulaştığını göstermektedir.

Değerlendirme: İdari para cezalarındaki yıllık artış, şirketlerin KVKK uyum çalışmalarını bir an önce tamamlamaları gerektiğine işaret ediyor. Özellikle veri güvenliği zaafiyetleri nedeniyle ortaya çıkabilecek ihlaller, sadece para cezasıyla kalmayıp kurumsal itibar kaybına da yol açabilir. 2025 yılında yürürlükte olan bu güncellenmiş ceza sınırları, veri sorumlularının daha sıkı teknik önlemler almasını ve çalışanlarını bilinçlendirmesini zorunlu kılıyor. Zira Kurul, ihlallerde tereddüt etmeksizin üst sınırdan ceza verebildiğini geçmiş kararlarında göstermiştir. Sonuç olarak, kişisel verilerin korunması artık tüm sektörler için göz ardı edilemeyecek bir uyum alanıdır; gerekli tedbirleri almayanların karşılaşacağı yaptırımlar her geçen yıl daha da ağırlaşmaktadır.

Kaynakça

1.KVKK Kurul İlke Kararı (SMS ile Doğrulama Kodu): 10.06.2025 tarih ve 2025/1072 sayılı İlke Kararı – Resmî Gazete, 26 Haziran 2025, Sayı 32938. Kurul, SMS ile tek seferde çoklu onay alınmasını hukuka aykırı bulmuştur[1].

2.KVKK Kamuoyu Duyurusu (Borç Bilgisi Paylaşımı): 20.08.2025 tarihli Kurum duyurusu – “Alacaklı Vekilleri Tarafından Borçlu Yakınlarına Ait Kişisel Verilerin İşlenmesi”. Borçlunun rızası olmadan yakınlarına borç bilgisinin verilmesi KVKK ihlalidir[8][9].

3.KVKK Veri İhlali Bildirimleri: 14.08.2025 tarih ve 2025/1481 sayılı Kurul Kararı (Biletal İhlali)[18]; 14.08.2025 tarih ve 2025/1514 sayılı Karar (TTB İhlali)[15]. 

4.AYM Kararı (Hasta Mahremiyeti): Cem Özberk Başvurusu, B.No: 2020/15944 – AYM Genel Kurul Kararı, 20.03.2025 (Resmî Gazete 05.08.2025). Hasta bilgilerinin anneye verilmesi nedeniyle Anayasa md.20 ihlali kararı[23][28].

5.Yargıtay Kararı (Kişisel Veri Suçu – CD Kaydı): Yargıtay 12. Ceza Dairesi, 18.09.2019 T. 2018/8466 E. – 2019/9054 K. (Karar No: 2015/1672). Gizlice kaydedilen konuşmanın sadece yargı mercine sunulması TCK 136 suçunu oluşturmaz (hukuka uygunluk hali)[33].

6.6698 Sayılı KVKK Tanımlar: Kanun m.3 – Kişisel Veri: “Kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgi”[10]; Açık Rıza: “Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”[4].

7.KVKK 2025 İdari Para Cezaları Duyurusu: KVKK, 03.01.2025 tarihli duyuru – “6698 Sayılı Kanun Kapsamında İdari Para Cezası Tutarları”. Yeniden değerleme oranıyla güncellenen 2025 ceza alt/üst sınırları (örn. aydınlatma yükümlülüğü ihlali: 68.083 – 1.362.021 TL) detaylı şekilde ilan edilmiştir[42]. Ayrıca bkz. Aksan Law bilgi notu (07.01.2025)[46].

8.Teknik ve Bilimsel Kaynaklar: Kişisel verilerin korunması literatüründe açık rıza üç unsurlu bir kavramdır (belirli konu, bilgilendirme, özgür irade)[4]. OTP gibi çok faktörlü kimlik doğrulama araçlarının veri güvenliğine katkısı çeşitli siber güvenlik kaynaklarında vurgulanmıştır[39]. E-posta adresi gibi iletişim bilgilerinin kişisel veri olduğu ve herkese açık olsa bile hukuken korunduğu Yargıtay içtihatlarında da yer almaktadır[38][36].


Bizi Takip Edin: