top of page
Ara

Veri Koruma Mevzuatı, 2024 Değişiklikleri, Yapay Zeka ile Kişisel Veri Teması

  • Yazarın fotoğrafı: LexNexus
    LexNexus
  • 24 Haz
  • 8 dakikada okunur
ree

Veri Koruma Mevzuatının Temel Yapısı ve 2016’dan Bu Yana Gelişimi

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 7 Nisan 2016 tarihinde kabul edilerek Türkiye’de kişisel veri korumasının temel çerçevesini oluşturmuştur.


KVKK’nın temelinde, kişisel verilerin işlenmesinde uyulması gereken ilkeler bulunmaktadır. KVKK, veri sorumlusu ve veri işleyen kavramlarını tanımlayarak, veri sorumlularına sorumluluklar yüklemiş; ilgili kişi hakları olarak bilinen kişisel veri sahibi hakları da KVKK kapsamında detaylandırılmıştır. Kişisel Verileri Koruma Kurumu (“Kurum”) ve Kişisel Verileri Koruma Kurulu (“Kurul”) 2017 itibarıyla faaliyete geçmiş, şirketlerin ve kurumların uyum süreçleri kademeli olarak denetlenmiştir.

 

2018’e kadar verilen uyum sürecinin ardından, veri sorumlularının büyük kısmı VERBİS’e kaydolarak envanterlerini bildirmiş; aydınlatma metinleri ve açık rıza mekanizmaları yaygın şekilde hayata geçirilmiştir. Kurum, rehberler, kılavuzlar ve bilgi notları yayınlayarak uygulamaya ışık tutmuştur. Örneğin, kişisel veri güvenliği rehberleri, siber güvenlik tedbirleri kılavuzları, belli sektörlere yönelik karar özetleri ve çerez uygulamaları gibi konularda taslak rehberler yayınlanmıştır. Kurul kararları ve karar özetleri de uygulamanın gelişiminde kritik rol oynamıştır. Kurul, ihbar ve şikâyetler sonucu birçok inceleme yapmış; ihlaller tespit edildiğinde idari yaptırımlar uygulamıştır.

 

2024 Faaliyet Raporu verilerine göre veri sorumlularına toplam 553 milyon TL, 2023 yılında ise toplam 241 milyon TL idari para cezası uygulanmıştır. Bu rakamlar, Kurum’un KVKK’nın ilk yıllarında farkındalık yaratma ağırlıklı yaklaşımının zamanla etkin denetim ve yaptırıma evrildiğini göstermektedir. Sektörel bazda bakıldığında en çok şikâyet alan alanların hizmet sektörü, e-ticaret ve telekomünikasyon olduğu, en sık ihlal konularının ise hukuka aykırı veri işleme ve izinsiz ticari iletiler olduğu görülmüştür. Bu süreç, Türkiye’de kişisel veri koruma kültürünün giderek yerleştiğine ve hem vatandaşların hem de kurumların konuya duyarlılığının arttığına işaret etmektedir.


2024 Yılı KVKK Değişiklikleri ve Getirilen Yenilikler


KVKK, 2016’daki haliyle AB’nin eski direktifi temel alınarak hazırlanmıştı; ancak değişen ihtiyaçlar ve Genel Veri Koruma Tüzüğü’ne (General Data Protection Regulation, “GDPR”) uyum hedefiyle zaman içinde güncellenme gereği doğdu.

 

2021’de açıklanan İnsan Hakları Eylem Planı ve Ekonomik Reform Paketi gibi politika belgeleri, KVKK’nın GDPR ile uyumlu hale getirilmesini öncelikler arasına almıştır. Bu kapsamda hazırlanan değişikliklerin ilk paketi, TBMM tarafından kabul edilerek 12 Mart 2024’te Resmî Gazete’de yayımlanmış ve 1 Haziran 2024 itibarıyla yürürlüğe girmiştir. Söz konusu değişiklikler özellikle KVKK’nın 6, 9 ve 18. maddelerinde düzenlemeler yaparak veri işleme şartları, yurtdışına veri aktarımı ve idari yaptırım/itiraz mekanizmalarında önemli yenilikler getirmiştir.

 

Başlıca değişiklikler şöyle özetlenebilir:

 

Özel Nitelikli Kişisel Verilerin İşlenmesi: KVKK m.6 kapsamında “özel nitelikli” (hassas) veriler için öngörülen çerçeve genişletilmiştir. Eski metinde sağlık ve cinsel hayat verileri ayrı bir alt kategori olarak değerlendirilirken, 2024 değişikliğiyle bu ayrım kaldırılmış ve tüm özel nitelikli kişisel veriler için tek bir düzenleme yapılmıştır. Kural olarak özel nitelikli verilerin açık rızasız işlenmesi yasak olmakla birlikte, istisnai işleme halleri GDPR’dakine benzer şekilde sekiz koşula çıkarıldı. Artık özel nitelikli kişisel veriler, aşağıdaki durumlardan biri varsa açık rıza olmaksızın işlenebilecek:

  • Kanunlarda açıkça öngörülmüş olması,

  • Fiili imkânsızlık nedeniyle rıza veremeyen kişinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

  • İlgili kişinin kendisi tarafından alenileştirilmiş olması,

  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

  • Kamu sağlığının korunması, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin finansmanı gibi alanlarda, sır saklama yükümlülüğü altındaki kişiler veya yetkili kurumlar tarafından işlenmesi,

  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmet gibi alanlarda veri sorumlusunun kanuni yükümlülüğünü yerine getirmesi için zorunlu olması

  • Dernek, vakıf, sendika gibi kâr amacı gütmeyen kuruluşların üyelerine veya bu kuruluşların faaliyetleriyle bağlantılı kişilere yönelik, ilgili kuruluş amacı kapsamında ve sadece gerekli ölçüde işlenmesi.

 

Bu yeni düzenleme, özellikle işverenlerin çalışanlarına ait sağlık verilerini işlemesi konusundaki belirsizlikleri gidermiştir. Önceden işverenler, çalışan sağlık verilerini ancak açık rızayla veya işyeri hekimi aracılığıyla işleyebiliyorken, artık iş sağlığı ve güvenliği kapsamında kanuni yükümlülüklerini yerine getirirken bu verileri açık rıza olmaksızın işleyebileceklerdir. Böylece uygulamada karşılaşılan pek çok güçlüğe yasal çözüm getirilmiştir.


Yine de bu esneklik, veri sorumlularının özel nitelikli kişisel verileri işlerken ilgili diğer ilkelere ve gizlilik tedbirlerine tam uyum sağlaması gerekliliğini ortadan kaldırmamaktadır. Kurum değişikliklere uyum için veri sorumlularına yol gösterecek Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber’i Şubat 2025 itibariyle yayımlamıştır.


Yurt Dışına Kişisel Veri Aktarımı: KVKK’nın en çok eleştirilen yönlerinden biri, kişisel verilerin yurt dışına aktarımına ilişkin katı ve pratikte işlemesi zor şartlardı. Eski düzenlemede, veri aktarımı için ya ilgili kişinin açık rızası gerekiyor ya da yeterli korumanın bulunduğu ülkelerin Kurul tarafından ilan edilmesi veya yazılı taahhütlerle Kurul izninin alınması gerekiyordu. Ancak bugüne dek Kurul herhangi bir yeterli koruma listesi yayımlamamış, sunulan 80 kadar taahhütnameden sadece birkaçını onaylayabilmişti. Bu durum, bulut bilişim gibi modern iş modellerinde ciddi engeller yaratıyordu. 2024 değişiklikleriyle yurtdışı aktarımına ilişkin madde 9 baştan düzenlenerek GDPR benzeri üç kademeli bir sisteme geçildi. Temmuz 2024’te ise Kurum tarafından usul ve esasların belirlendiği yönetmelik yayımlandı.

 

  1. Yeterli Koruma Kararı (Adequacy): Kurul’un belirli bir ülke, uluslararası örgüt veya sektör bazında yeterli veri koruması bulunduğuna karar vermesi halinde, ayrıca bir izin aranmaksızın o yere veri transferi yapılabilecek. Örneğin gelecekte Kurul’un belirli bir ülkenin sağlık sektörü için yeterli koruma kararı alması durumunda, o ülkeye sağlık verileri transferi kolaylaşabilecektir. Henüz hiçbir ülke için böyle bir karar çıkmamış olsa da ileride Avrupa Ekonomik Alanı ülkeleri için gündeme gelebileceği umut edilmektedir.

  2. Uygun Güvence Mekanizmaları: Yeterli koruma kararı yoksa, veri sorumluları uygun koruma taahhütleri ile transfer yapabilecektir. Bu kapsamda Kurul’un onayına tabi bağlayıcı şirket kuralları (Binding Corporate Rules, “BCR”) veya Kurul tarafından yayınlanacak standart sözleşme şartları (Standard Contractual Clauses, “SCC”) gibi yöntemler öngörülmüştür. Yeni düzenlemeye göre, standart sözleşme kullanıldığında, verisi aktarılan kişilerin aktarımın yapıldığı ülkede etkili hukuki yollara başvurma imkânının sağlanması ve imzalanan sözleşmenin 5 iş günü içinde Kurum’a bildirilmesi gerekecektir. Bu bildirim şartının, GDPR’da olmayan ek bir yükümlülük olduğu ve uyulmaması halinde idari para cezası öngörüldüğü belirtilmelidir.

  3. İstisnai Durumlarda Aktarım (Incidental Transfer): Ne yeterli ülke kararı ne de uygun güvence yoksa, bazı istisnai hallerde bir defaya mahsus veya arızi şekilde yurt dışına veri gönderimine izin verilmektedir. Bu haller, büyük ölçüde GDPR’ın 49. maddesindeki istisnaları yansıtır: İlgilinin açık rızasının alınması (riskler konusunda bilgilendirilmiş olarak), sözleşme kurulması veya ifası için zorunlu veri aktarımı, üçüncü tarafla yapılan sözleşmenin ilgili kişi lehine ifası için gerekli olması, kamu menfaati için zorunluluk, bir hakkın tesisi/kullanılması için zorunluluk, ilgili kişinin veya başkasının hayati tehlikesi durumunda rıza veremiyorsa zorunluluk, ve kamuya açık verilerin ilgili şartlara uygun şekilde aktarımı gibi. Bu tür arızi transferlerin sürekli olmaması ve her somut durumda gereklilik bazında değerlendirilmesi şart koşulmuştur.

 

Yeni düzenlemeyle ayrıca veri işleyenlerin de yurt dışına aktarım gerçekleştirebileceği açıkça hükme bağlandı: önceki metinde net olmayan bu konu uygulamada tereddüt yaratıyordu. Kurum yeni sisteme uyum için veri sorumlularına yol gösterecek Kişisel Verilerin Yurt Dışına Aktarılması Rehberi’ni Ocak 2025 itibariyle yayımlamıştır. BCR ve SCC örnekleri ile BCR yardımcı kılavuzları yine Kurum tarafından yayımlanmıştır.


Kurul Kararlarına İtiraz Usulü ve İdari Yaptırımlar: KVKK m.18’de yapılan değişiklikle, Kurul’un verdiği idari para cezalarına karşı itiraz mercii değiştirilmiştir. Önceden, Kurul kararlarına itirazlar sulh ceza hâkimliklerine yapılıyordu; ancak bu durum, bu mahkemelerin idari para cezalarını teknik açıdan derinlemesine inceleyememesi nedeniyle eleştiriliyordu. Aralık 2023’te Anayasa Mahkemesi de bu yapının adil yargılanma hakkı açısından sorunlu olabileceğine dikkat çekmişti. 2024 düzenlemesiyle, Kurul’un idari yaptırım kararlarına karşı artık idare mahkemelerinde dava açılması hükme bağlandı. Böylece veri sorumluları, bir yaptırıma itiraz edeceklerinde idari yargı yoluna gidecek, bu da daha etkin bir yargısal denetim imkânı sağlayacaktır.

 

Yukarıdaki değişiklikler 1 Haziran 2024 itibarıyla yürürlüğe girmiş olup, özellikle veri işleme şartları ve uluslararası transfer konularında Türkiye’de yeni bir dönemin başlangıcını işaret etmektedir. Bu yenilikler, KVKK’nın AB mevzuatına uyum yolunda önemli bir adım olduğunu göstermektedir. İleride gündeme gelecek ikinci reform paketi ile KVKK’nın GDPR ile tam uyumunun hedeflendiği belirtilmiştir. Veri sorumlularının ise bu değişikliklere uyum sağlamak adına politikalarını ve sözleşmelerini gözden geçirmeleri, gerekirse güncellemeleri önem arz etmektedir.


Güncel Kaygılar ve Yaklaşımlar: Yapay Zeka ile Kişisel Veri İşlenmesi


KVKK’nın uygulanmasında son yıllarda öne çıkan konulardan biri de yapay zekâ (Artificial Intelligence, “AI”) teknolojilerinin kullanımıyla kişisel veri işlenmesi olmuştur. AI teknikleri, büyük veri setlerini kullanarak karar verme süreçlerini otomatikleştirmekte ve yeni hizmetler sunmaktadır.

 

Özellikle sohbet robotları (chatbot'lar) ve üretken yapay zekâ (generative AI) uygulamaları, bireylerle etkileşime girerken çok miktarda kişisel veriyi işleyebilir. Bu durum, veri koruma hukuku açısından bazı önemli risk ve endişeleriberaberinde getirmektedir. Hem Türkiye’de KVKK kapsamında hem de dünyadaki veri koruma otoriteleri nezdinde yapay zekâ ve gizlilik konusu yoğun biçimde tartışılmaktadır.

 

AI uygulamalarının KVKK ile uyumlu olması için öncelikle genel ilkelere ve hukuki işleme şartına dikkat edilmelidir. KVKK, her türlü kişisel veri işlemenin bir hukuki sebebe dayanmasını zorunlu kılar. ChatGPT gibi bir AI destekli chatbot, kullanıcı girdilerini (prompt) işlerken aslında kişisel verileri analiz etmekte ve bunlar üzerinden yanıtlar üretmektedir. Dolayısıyla, açık rıza alma ve aydınlatma yükümlülüğü AI uygulamaları için de geçerlidir. Uygulamada bu, bir sohbet robotunun kullanıma sunulmadan önce kullanıcıya verilerinin nasıl kullanılacağını anlaşılır şekilde açıklaması ve gerektiğinde onay alması anlamına gelir. Aksi takdirde, AI sistemlerinden gelen karar ve çıktılar KVKK’nın ihlaline yol açabilir.

 

Nitekim AB’de 2023 yılında ChatGPT hizmeti, İtalya tarafından veri koruma gerekçeleriyle geçici olarak durdurulmuş ve ardından ek şeffaflık ve rıza tedbirleri uygulandıktan sonra devam etmesine izin verilmiştir. Bu örnek, açık rızanın ve şeffaflığın AI alanında ne kadar kritik olduğunu göstermektedir.


Bir diğer önemli boyut, veri güvenliği ve gizlilik tasarımı konusudur. AI sistemleri genellikle bulut ortamlarında çalışır ve karmaşık veri işleme süreçleri içerir. KVKK m. 12, veri sorumlularının uygun teknik ve idari güvenlik tedbirlerini almasını şart koşar. Bu kapsamda AI geliştiricileri ve uygulayıcıları, veri minimizasyonuşifrelemeerişim kontrolü, anonimleştirme gibi önlemleri en baştan sisteme entegre etmelidir. Kurum Kasım 2024’te yayınladığı bir bilgi notunda, AI destekli chatbot’ların geliştirilmesinde mahremiyet tasarımı (privacy by design) ve varsayılan mahremiyet (privacy by default) ilkelerine uyulması gerektiğini özellikle vurgulamıştır. Bu yaklaşım, daha ürün geliştirme aşamasından itibaren gizlilik risklerinin değerlendirilmesini ve sistemin kullanıcı verilerini koruyacak şekilde yapılandırılmasını öngörür.


Hesap verebilirlik ilkesi, AI sistemlerinin neden olduğu sonuçların izlenebilirliği ve denetlenebilirliği açısından önemlidir. Bu bağlamda, yalnızca veri koruma etki değerlendirmesi değil, algoritmik etki değerlendirmesi yapılması da önerilmektedir. Kurum, bu yöndeki uygulamaları desteklemekte ve geliştirilmekte olan rehberlerle bu süreci yönlendirmektedir.


AI uygulamalarının bireyler üzerindeki etkileri, özellikle otomatik karar alma süreçlerinde daha da belirginleşmektedir. KVKK m. 11/g uyarınca, bireyler verilerinin münhasıran otomatik sistemlerce işlenmesiyle kendileri aleyhine bir sonuç doğarsa buna itiraz edebilir ve insan müdahalesi talep edebilir. AB Adalet Divanı kararları ve AB Yapay Zekâ Tüzüğü de, bu hakkı destekleyecek şekilde algoritmik şeffaflığa ve açıklama yükümlülüğüne dikkat çekmektedir.


Özellikle yüksek riskli AI sistemleri için, algoritmik kararların dayandığı mantığın açıklanması ve bireylerin anlamlı şekilde bilgilendirilmesi gereklidir.


AI ile kişisel veri işlenmesinde özel kategoriler ve çocukların korunması ayrı bir hassasiyet gerektirir. Derin öğrenme modelleri, eğitim verisi olarak internetteki içerikleri kullanırken farkında olmadan bireylerin etnik köken, siyasi görüş, sağlık bilgisi gibi özel nitelikli kişisel verilerini işleyebilir. KVKK bu tür verilere özel koruma sağladığından, AI geliştiricilerinin veri setlerini gözden geçirmesi, mümkünse anonim hale getirmesi ve hassas gruplar için özel güvenlik önlemleri geliştirmesi önerilir.


Çocukların mahremiyetinin korunması açısından, yaş doğrulama sistemleri, ebeveyn izni ve içerik filtreleme gibi yöntemler Kurum tarafından açıkça tavsiye edilmiştir. Ayrıca çocuklara yönelik farkındalık artırıcı bilgilendirme programlarının önemi de vurgulanmaktadır.


AI teknolojilerinin hızlı gelişimi karşısında, yalnızca teknik değil aynı zamanda etik, hukuki ve toplumsal sorumlulukların da dikkate alındığı bütüncül bir veri koruma yaklaşımı benimsenmelidir.


SONUÇ

AI teknolojilerinin kişisel veri işleme kapasitesi, veri koruma hukukunda yeni sınavlar ortaya çıkarıyor.


Kurum’un Haziran 2025 tarihli “Yapay Zekâya Genel Bakış” bülteniyle birlikte, mevzuat düzeyinde bu alana dair ilk tanımlayıcı adımlar atıldı. Bültende yer alan “yapay zekâ sistemi”, “otomatik karar alma”, “etik algoritma”, “veri yönetişimi” gibi kavramlar hem geliştiricilere hem de veri sorumlularına yönelik yeni bir bilinç çerçevesi oluşturuyor.


Kurum’un ChatGPT örneğine ilişkin önceki girişimleriyle birlikte bu bülten, yapay zekâ projelerinde risk değerlendirmesi yapılması, algoritma şeffaflığı, insan müdahalesine açık karar süreçleri ve privacy by design ilkelerinin sistematik olarak uygulanması gerektiğini net şekilde ortaya koyuyor.


Küresel ölçekte de benzer şekilde, düzenleyiciler AI’ın veri koruma rejimine uygun gelişmesini sağlamak için çalışıyor. AB’nin hazırladığı Yapay Zekâ Tüzüğü (AI Act), yüksek riskli AI uygulamalarına sıkı kurallar getirirken; GDPR çerçevesinde ise büyük dil modelleri gibi sistemler aktif olarak denetim altına alınıyor.


Profesyonel bir bakışla, şirketler ve kurumlar için AI projelerinde KVKK’ya uyum, bir yasal zorunluluktan öte, itibar ve güven unsuru olarak değerlendirilmeli. 2024’teki KVKK değişiklikleriyle güncellenen veri koruma ortamı, artık daha fazla esneklik sağlamakla birlikte hesap sorulabilirliği de artırıyor. Bu nedenle, stratejik hareket etmek isteyen işletmelerin, AI kullanırken veri koruma mevzuatındaki gelişmeleri yakından takip etmesi hem teknik hem idari tedbirlerle privacy by design prensiplerini iş süreçlerine entegre etmesi kritik önem taşıyor.


KVKK’nın 2016’dan bugüne gelen yolculuğu ve 2024 reformları, Türkiye’de veri koruma alanının dinamik bir şekilde güçlendiğini gösterirken; yapay zekâ gibi yeni teknolojiler bağlamında da proaktif ve bilinçli bir uyum çabasını zorunlu kılıyor. Bu bütüncül yaklaşım sayesinde, inovasyon ile mahremiyet arasında sürdürülebilir bir denge kurulabilecektir.


Vision. Reason. Lex Nexus.

 
 
 

Yorumlar

bottom of page