1- 4 VERİ İHLALİ BİLDİRİMİ YAYIMLANDI
- MANGO T.R. TEKSTİL TİC. LTD. ŞTİ.
Veri sorumlusu sıfatını haiz Mango T.R. Tekstil Tic. Ltd. Şti. tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) İhlalin 06.10.2025 – 10.10.2025 tarihleri arasında gerçekleştiği ve 10.10.2025 tarihinde tespit edildiği, (ii) İhlalin, veri sorumlusunun kullandığı dijital pazarlama e-posta sistemi platformunun API’sine erişim için kullanılan bir yönetici kimlik bilgisinin sızdırılması sonucu, müşteri verilerine yetkisiz erişim sağlanması suretiyle meydana geldiği, (iii) Siber saldırının Mango’nun İspanya merkezine yönelik olarak gerçekleştirildiği ve Türk vatandaşları da dahil olmak üzere global ölçekte tüm müşterilerin kişisel verilerine yetkisiz erişim sağlandığı, (iv) İhlalden müşterilere ait ad, ülke, posta kodu, telefon numarası ve e-posta adresi bilgilerinin etkilendiği (soyad verisinin ihlalden etkilenmediği), (v) İhlalden Mango Türkiye kapsamında 4.349.620 ilgili kişinin etkilendiği, (vi) İlgili kişilerin veri ihlali hakkında e-posta, çağrı merkezi ve sohbet robotu aracılığıyla bilgi alabileceklerinin belirtildiği, bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.
- İSTANBUL GOLF İHTİSAS SPOR KULÜBÜ
Veri sorumlusu sıfatını haiz İstanbul Golf İhtisas Spor Kulübü tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) İhlalin, 15.10.2025 tarihinde veri sorumlusuna ait bir bilgisayarda fidye talebi içeren mesajın görülmesiyle tespit edildiği, (ii) Söz konusu bilgisayarda bulunan dosyalar üzerinde şifreleme işleminin tam olarak gerçekleşmediği, (iii) İhlalden etkilenen ilgili kişi grubunun aboneler/üyeler olduğu, (iv) İhlalden etkilenen kişisel veri kategorilerinin kimlik (T.C. kimlik numarası), iletişim (e-posta, cep telefonu veya ofis telefonu), lokasyon (adres), özlük (medeni durum, adli sicil kaydı) ve mesleki deneyim verileri olduğu, (v) İhlalden etkilenen kişi sayısının henüz tespit edilemediği ve incelemelerin devam ettiği, bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.
- HAYDİGİY E-TİCARET TEKSTİL SANAYİ VE TİCARET LİMİTED ŞİRKETİ
Veri sorumlusu sıfatını haiz Haydigiy E-Ticaret Tekstil Sanayi ve Ticaret Limited Şirketi tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) 15.10.2025 tarihinde tespit edilen ihlalin başlama tarihinin kesin olarak belirlenemediği, (ii) Veri sorumlusuna bazı müşteriler tarafından iletilen şüpheli işlem bildirimleri üzerine başlatılan inceleme sonucunda, bir yönetici hesabına yetkisiz erişim sağlandığı ve bu hesap üzerinden siteye bir kod eklendiğinin tespit edildiği, (iii) İhlalden etkilenen ilgili kişi gruplarının aboneler/üyeler ile müşteri ve potansiyel müşteriler olduğu, (iv) İhlalden etkilenen kişisel veri kategorilerinin iletişim, lokasyon ve finans verileri olduğu, (v) İhlalden etkilenen kişi sayısının belirlenmesine yönelik çalışmaların devam ettiği, bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.
- CLEVERBRIDGE GMBH
Veri sorumlusu sıfatını haiz Cleverbridge GmbH (Tunisstraße 19-23, 50667 Cologne, Germany) tarafından Kurula iletilen veri ihlal bildiriminde özetle; (i) İhlalin 10.09.2025 tarihinde gerçekleştiği ve 15.09.2025 tarihinde tespit edildiği, (ii) İhlalin, veri sorumlusunun müşteri veri tabanına yetkisiz erişim sağlanması sonucu meydana geldiği, (iii) Bilinmeyen bir IP adresi tarafından API’nin alışılmadık bir şekilde kullanıldığının fark edilmesi üzerine, API’nin bilgi güvenliği ekibi tarafından engellendiği, (iv) İhlalden etkilenen kişisel veri kategorilerinin isim, şirket, e-posta, ödeme yöntemi, kartın son dört hanesi, kartın son kullanma tarihi, satın alınan ürünlerin fiyatlandırma ayrıntıları ve tekrarlayan faturalandırma bilgileri olduğu, (v) İhlalden etkilenen ilgili kişi grubunun müşteriler ve potansiyel müşteriler olduğu, (vi) İhlalden etkilenen kişi sayısının 1.235 olduğu, bilgilerine yer verilmiştir. Konuya ilişkin inceleme devam etmektedir.
2-KVKK–GDPR Uyum Sürecinin 2026’da Tamamlanması Hedefleniyor
30 Ekim 2025 tarihli Resmî Gazete’de yayımlanan 2026 Yılı Cumhurbaşkanlığı Yıllık Programı’na göre kişisel verilerin korunması ve veri mahremiyetinin güçlendirilmesi amacıyla Kişisel Verilerin Korunması Kanunu (“KVKK”)’nun Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile tam uyumlu hâle getirilmesine yönelik mevzuat çalışmalarının 2026 yılı içinde tamamlanmasını planlanmaktadır.
3-Özel Sağlık Sigortalarında KVKK Uyumu Netleştirildi
20 Ekim 2025 tarihinde Resmî Gazete’de yayımlanan değişiklikle, Özel Sağlık Sigortaları Yönetmeliği’nin 16. maddesi tamamen yenilenmiş ve “Bilgilerin Gizliliği” başlığı yerine “Kişisel Verilerin Korunması ve Sır Saklama Yükümlülüğü” başlığı getirilmiştir. Böylece özel sağlık sigortalarındaki veri işleme süreçlerinin KVKK ile tam uyumu zorunlu hale getirilmiştir.
Yeni düzenleme ile sağlık verilerinin işlenmesinde artık sigortalının yazılı onayı değil, KVKK’daki veri işleme şartları esas alınacaktır. Ayrıca sigortalılık kayıtları ve sağlık verilerinin, sigortalılığın sona ermesinden itibaren 10 yıl saklanması ve sürenin sonunda silinmesi, yok edilmesi veya anonimleştirilmesi zorunluluğu getirilmiştir.
Son olarak, sır saklama yükümlülüğünün kapsamı genişletilmiş ve Sigortacılık Kanunu m. 31/A’ya atıfla, sigortalıya ilişkin bilgileri öğrenen tüm kişi ve kuruluşların bu yükümlülüğünün görev veya sıfat sona erse dahi devam edeceği açıkça düzenlenmiştir.
4-KVKK İlke Kararları Güncellendi
Kişisel Verileri Koruma Kurulu’nun İlke Kararları kitapçığı güncellendi. Bu güncelleme ile kişisel verilerin korunmasına ilişkin ilkeler ve uygulama esasları daha net hale getirildi.
5-Kişisel Verileri Koruma Kurumu Etkinlikleri ve Duyuruları
- Kişisel Verileri Koruma Kurulu’ndan Bir İlk: “Uluslararası Sözleşme Niteliğinde Olmayan Anlaşma” ile Yurt Dışına Veri Aktarımı Onayı
Kişisel Verileri Koruma Kurulu (“Kurul”), Göç İdaresi Başkanlığı ile Birleşmiş Milletler Mülteciler Yüksek Komiserliği arasında imzalanan ve uluslararası sözleşme niteliği taşımayan anlaşma kapsamında yurt dışına kişisel veri aktarımına 21 Ekim 2025 tarihinde izin verdi.
Kanun değişiklikleri uyarınca yeterlilik kararı bulunmayan ülkelere yapılacak aktarımlarda uygun bir güvence sağlanması zorunludur. Bu güvencelerden biri de kamu kurumları ile uluslararası kuruluşlar arasında yapılan ve uluslararası sözleşme niteliği taşımayan anlaşmalardır.
Kurul’un 11 Kasım 2025 tarihli duyurusu, “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliğin” 11. maddesi uyarınca verilen bu iznin, aynı zamanda ilgili aktarım mekanizmasının ilk kez fiilen hayata geçirildiğini göstermesi bakımından önem arz etmektedir.
- Kurum Tarafından Düzenlenen Çarşamba Seminerleri
Kurum tarafından, “Mahremiyet Artırıcı Teknolojilerin Veri Koruma Hukukuna Uygun Yapay Zekâ Ekosistemindeki Rolü” ile “Veri, Yapay Zekâ ve Hukuk: Sınırlar, Riskler, Uygulamalar” başlıklı Çarşamba Seminerleri gerçekleştirildi.
- İstanbul Privacy Summit 2025 Gerçekleştirildi
Veri koruma ve mahremiyete ilişkin önemli zirvelerden biri olarak kabul edilen “İstanbul Privacy Summit” 16 Ekim Perşembe günü gerçekleştirildi.
Dijital dünyada gizlilik, veri güvenliği ve etik teknoloji kullanımını küresel bir bakış açısıyla ele alan, “Küresel Trendler, Kıtalararası İş Birliği: Yapay Zekâ, Veri ve Siber Güvenlik Düzenlemeleri” temasıyla düzenlenen zirvede, yapay zekâ alanındaki son gelişmeler de değerlendirildi
- Sorularla Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) ve VERBİS Kılavuzu Güncellendi
01 Ekim 2025 tarihli Resmî Gazete’de yayımlanan Kurul’un 2025/1572 sayılı kararı ile VERBİS’e kayıt yükümlülüğüne ilişkin yeni bir istisna getirilmiştir. Buna göre, ana faaliyet konusu özel nitelikli kişisel veri işlemek olsa dahi, çalışan sayısı 10’dan az ve yıllık mali bilanço toplamı 10 milyon TL’nin altında olan veri sorumluları artık VERBİS’ten muaf tutulacaktır.
Buna karşılık, özellikle yurt dışında yerleşik veri sorumluları ile çalışan sayısı 50’den fazla olan veya mali bilanço toplamı 100 milyon TL’yi aşan veri sorumlularının VERBİS’e kayıt yükümlülüğü devam etmektedir.
Getirilen bu istisna doğrultusunda “VERBİS Kılavuzu” ve “Sorularla VERBİS” dokümanları da ilgili değişikliklere uygun şekilde güncellenmiştir.
