UYUM HUKUKU BÜLTENİ

AG Hukuk & Danışmanlık
2025 Uyum hukuku Bülteni

1) 2025 Yılına Uyum Hukuku Açısından Genel Bakış

2025 yılı uyum hukukunda, “politika ve prosedürlerin yazılılığı” ile “uygulamada denetlenebilir şekilde işletilmesi” arasındaki farkın belirginleştiği bir yıl olmuştur. yasa koyucu ve piyasaların beklentisi; kurumların yalnızca uyum dokümanları üretmesini değil; bu dokümanları işleten, izleyen ve belgeler ve dijital araçlarla kanıtlayabilen bir sistem kurulmasını istemektedir. 

Bu bağlamda siber güvenlik (Bilgisayar sunucuları mobil cihazları ve elektronik sistem ağları ve verileri kötü amaçlı saldırılardan koruma uygulamasıdır), veri aktarımı, yapay zekâ kullanımı, kripto varlık sisteminde Kara Para Aklamanın Önlenmesine Yönelik Uyumu (AML Uyumu), sürdürülebilirlik raporu (Şirket proje ve faaliyetlerinin çevreye ve insan yaşamına zarar vermeyen ve enerji kaynaklarını dengeli bir şekilde kullanılabilecek bir çalışma sistemine sahip olduğunu tescilleyen rapordur) ve yaptırım (sanctions) uyumu 2025’in en görünür ve pratik etkisi en yüksek başlıkları hâline gelmiştir.

2) Uluslararası Gelişmeler

2.1. Avrupa Birliğinde DORA: Finans Sektöründe Dijital Operasyonel Dayanıklılık

AB’de DORA (Digital Operational Resilience Act. – Dijital Operasyonel Dayanıklılık Tüzüğü) düzenlemesi 17 Ocak 2025 itibarıyla uygulanır hâle gelmiştir. Bu düzenlemeler; finansal kuruluşlar için Bilgi ve İletişim Teknolojileri Risk Yönetimi (CT Risk Yönetimi), olay bildirimi, dayanıklılık testleri ve özellikle bulut/dış kaynak kullanımı (outsourcing) gibi üçüncü taraf hizmet sağlayıcılarının risk yönetiminde minimum standartlar getirmiştir. 

DORA’nın pratik etkisi, “siber tedbir aldık” yaklaşımından ziyade “olay müdahale planı ve testler gerçekten çalışıyor mu, tedarikçi sözleşmelerinde denetim ve olay bildirimi hakları var mı?” sorularına verilen cevaplarla ortaya çıkar. Bu nedenle finansal kuruluşlar ve bu kuruluşlara teknoloji hizmeti sunan kritik tedarikçiler için 2025; sözleşme setlerinin revizyonu, olay yönetim prosedürlerinin yazılması ve denetim izi üreten kayıt mekanizmalarının kurulması bakımından yeni bir nitelik kazanmıştır.

2.2. NIS2 ve ENISA Rehberliği: Siber Güvenlikte Kanıt Üretmek

NIS2 (Network and Information Security Directive 2 – Ağ ve Bilgi Güvenliği Direktifi), Avrupa Birliği’nin siber güvenlik alanındaki ana mevzuatıdır. Direktifin temel amacı; AB genelinde kritik altyapıların siber güvenliğini güçlendirmek, ortak asgari güvenlik standartları getirmek ve siber olay bildirimini zorunlu kılmaktır. 2023 yılında yürürlüğe girmiş olan NIS2 yaklaşımını 2025’te uygulama seviyesine yönlendirmesiyle kurumların siber güvenlik olgunluğu yalnızca teknik önlemlerle değil, bu önlemlerin kanıtlanabilirliği ile ölçülmeye başlanmıştır. 

ENISA’nın (European Union Agency for Cybersecurity – Avrupa Birliği Siber Güvenlik Ajansı) 26 Haziran 2025 tarihinde yayınlanmış teknik uygulama rehberi, güvenlik tedbirlerinin yanında “hangi kontrol hangi kanıtla gösterilir?” sorusuna pratik bir çerçeve sunmuştur. Bu gelişme, siber uyumun Bilişim Teknolojileri Departmanlarına (IT) bırakılabilecek bir konu olmaktan çıkıp; yönetim gözetimi, tedarik zinciri güvenliği, log yönetimi, olay bildirim/raporlama ve düzenli iç denetim gibi kurumsal süreçlerle birlikte ele alınmasını zorunlu kılmıştır.

2.3. AI Act: Yasaklı Pratikler ve AI Yönetişimi

Avrupa Birliği yetkilileri tarafından AI Act (Yapay Zekâ Tüzüğü) kapsamında “kabul edilemez risk” kategorisindeki bazı uygulamalara ilişkin yasakların 2 Şubat 2025 tarihinden itibaren uygulanmaya başladığı ifade edilmiştir. Bu durum yapay zekâ uyumunu yalnızca ürün/teknoloji konusu olmaktan çıkararak; özellikle insan kaynakları süreçleri, çalışan izleme/puanlama, müşteri yönlendirme ve davranışsal manipülasyon riskleri açısından yönetim düzeyinde ele alınması gereken bir başlık hâline getirmiştir. 2025 yılında yayımlanan yorumlayıcı rehberler; hukuken bağlayıcı olmasalar da uygulama standardı oluşturarak şirketlerin “AI kullanım envanteri”, risk sınıflaması ve yasaklı pratiklere karşı iç kontrol mekanizmaları kurmalarını fiilen zorunlu hâle getirmiştir.

2.4. AB Data Act: Sözleşme ve Ürün Tasarımını Etkileyen Veri Ekonomisi Kuralları

Avrupa Birliği Komisyonu, Data Act’in (Avrupa Birliği Veri Yasası) 12 Eylül 2025 tarihinden itibaren uygulanabilir olduğunu açıkça belirtmektedir. Data Act’in uyum etkisi çoğu zaman klasik “kişisel veri/gizlilik” başlıklarından farklı biçimde; veri erişimi ve veri paylaşımı hükümlerinin sözleşme mimarisi ve teknik taşınabilirlik üzerinde yarattığı etki de görülür. Bu nedenle Avrupa Birliği pazarına ürün/hizmet sunan şirketler açısından 2025 yılı; veri erişim taleplerine yanıt süreçlerinin kurgulanması, sözleşme şablonlarının güncellenmesi ve teknik ekiplerle birlikte veri çıkarılabilirliği/taşınabilirliği gibi uygulama gerekliliklerinin değerlendirilmesi gereken bir dönem olmuştur.

2.5. AB Yaptırımları: 19. Paket ve Dolaylı Risk Alanlarının Büyümesi

Avrupa Birliği Konseyi’nin 23 Ekim 2025 tarihinde kabul ettiği 19. Yaptırım Paketi; enerji ve finans gibi sektörlerde yeni kısıtlamalar getirirken, yaptırımların dolanılması (circumvention) riskini büyüten alanları da öne çıkarmıştır. 

Bu gelişme, uyum programlarının yalnızca liste taramasına indirgenmemesi; gerçek faydalanıcı (UBO) ve sahiplik/kontrol analizleri, ödeme akışı kontrolleri ve sözleşmesel yaptırım hükümleri ile güçlendirilmesi gereğini artırmıştır. Özellikle lojistik ve enerji tedarik zincirlerinde müşteri-tedarikçi-taşıyıcı-banka zincirinin bütüncül taranması ve risk göstergesi (red flag) senaryolarıyla (şüpheli durumu erkenden haber veren risk alarmıdır. Ekonomik amacı açıklanamayan işlemler, müşterinin geliriyle orantısız büyük işlem yapılması, kısa sürede çok sayıda para giriş çıkışının yapılması vb. durumlar örnek senaryolardır.) işletilmesi 2025 yılında daha kritik hâle gelmiştir.

2.6. Birleşik Krallık: Failure to Prevent Fraud (Dolandırıcılığın Önlenmesinde Yetersizlik) ve Kurumsal Önleme Prosedürleri

Birleşik Krallık’ta “failure to prevent fraud” suçunun 1 Eylül 2025 tarihinde yürürlüğe girmesiyle, belirli kapsam içindeki kuruluşlar bakımından dolandırıcılığı önlemeye yönelik makul prosedürlerin oluşturulması yönünde beklenti oluşmuştur. 

Bu yaklaşım, yalnızca etik kodu veya iç kontrol dokümanı bulundurmayı değil; risk değerlendirmesi yapılmasını, ilişkili kişilere/üçüncü taraflara ilişkin due diligence işletilmesini (Gerekli Özen ve İnceleme – Karar öncesi risklerin hukuki ve mali açıdan sistemli biçimde araştırma sürecinin yürütülmesidir.), whistleblowing (İhbar Mekanizması / Etik İhbar – Kurum içindeki hukuka aykırılıkların güvenli ve korumalı şekilde yetkililere bildirilmesidir.) ve iç soruşturma süreçlerinin çalışır hâle getirilmesini ve tüm bunların kanıtlanabilir biçimde dokümante edilmesini gerektirir. 

Birleşik Krallık’ta iş yapan veya Birleşik Krallık’ta grup şirketi bulunan yapılarda 2025 yılı, fraud riskinin itibar riskinden çıkarak doğrudan cezai sorumluluk riskine dönüştüğü bir dönüm noktası olmuştur.

3) Türkiye’de Gelişmeler

3.1. Kripto Varlık Alanı: SPK Tebliğleri ile Kurumsal Çerçevenin Güçlenmesi

Türkiye’de 2025 yılında uyum gündeminin en somut başlıklarından biri kripto varlık sistemidir. SPK’nın kripto varlık hizmet sağlayıcılarına ilişkin ikincil düzenlemelerin yayımlandığını duyurması; kuruluş ve faaliyet koşulları ile çalışma usul ve esasları, sermaye yeterliliği ve organizasyonel yapı gibi konuları daha kurumsal bir çerçeveye bağlamıştır. Bu gelişme, kripto alanında uyum fonksiyonunun “sonradan eklenen bir kontrol” değil; lisanslama ve faaliyet düzeninin çekirdeği hâline geldiğini göstermektedir.

3.2. MASAK: KVHS Rehberi Güncellemesi

MASAK’ın 30 Eylül 2025 tarihli duyurusu ile Kripto Varlık Hizmet Sağlayıcılar Rehberi güncellenmiş ve yayımlanmıştır. Bu güncelleme, kripto alanında AML Uyumunun (​​Kara Para Aklamanın Önlenmesine Yönelik Uyum) yalnızca kimlik tespiti seviyesinde kalmaması; yapılan işlemlerde risk bazlı izleme, şüpheli işlem bildirim süreçleri, kayıt saklama ve müşteri davranışı – işlem profili uyumsuzluklarını yakalayan senaryolar gibi pratik unsurlarla güçlendirilmesi ihtiyacını teyit etmiştir.

3.3. KVKK: Yurt Dışına Aktarımda Standart Sözleşme (SCC) ve 5 İş Günü Operasyonu

Kişisel Verileri Koruma Kurumunun 5 Şubat 2025 tarihli duyurusu, yurt dışına veri aktarımında standart sözleşme mekanizmasının yalnızca hukuki bir metin değil, operasyonel bir süreç olduğunu açık biçimde ortaya koymuştur. Duyuruda, standart sözleşmenin imza sürecinin tamamlanmasından itibaren 5 iş günü içinde Kişisel Verileri Koruma Kurumuna (KEP/modül/fiziken) bildirilmesi gerekliliği vurgulanmıştır. Bu nedenle uyum riski çoğu zaman metnin içeriğinden değil, kurum içi envanter eksikliğinden ve bildirim süresinin kaçırılmasından doğmaktadır. 2025 yılında SaaS (Software as a Service – Hizmet Olarak Yazılım) kullanımı, bulut servisleri ve global tedarikçiler nedeniyle çok sayıda kurumun SCC imza (Standard Contractual Clauses – Standart Sözleşme Maddeleri) – bildirim – kayıt süreçlerini “takvimi olan” bir operasyon hâline getirmelerini sağlamıştır.

3.4. TSRS: Sürdürülebilirlik Raporlamasının Denetlenebilir Veri Yönetimine Dönüşmesi

Sürdürülebilirlik alanında Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu (KGK) duyuruları, Türkiye Sürdürülebilirlik Raporlama Standartları’nın (TSRS) belirlenen işletmeler için 1/1/2024 ve sonrasında başlayan hesap dönemlerinde uygulanacağını ortaya koymaktadır. 2025’te TSRS’nin pratik etkisi, yalnızca rapor yazımından ibaret değildir; ESG Verisinin (Şirketin çevreye, topluma ve yönetişime etkisini ölçen sürdürülebilirlik performans verisidir.) kurum içinde hangi metodoloji ile üretileceği, kim tarafından doğrulanacağı ve hangi kanıtlarla destekleneceği gibi iç kontrol ve veri yönetişimi boyutunda belirginleşmiştir. Tedarik zincirinden veri toplama kapasitesi ve hesaplama metodolojilerinin standardize edilmesi, 2025 yılında TSRS uyumunun sahadaki temel ihtiyacı hâline gelmiştir.

3.5. Rekabet Uyumu: Şirket İçi Özdenetim ve Davranış Standardizasyonu

Rekabet Kurumunun kararlarında uyum programlarına yaklaşımını son yıllarda daha net bir şekilde görüyoruz. Bu yaklaşım bize, teşebbüslerin rekabet ihlallerine karşı şirket içi mekanizmalar kurması ve riskleri “davranış” düzeyinde yönetmesi gerektiğini gösteriyor. Rekabet Kurumunun kararlarında; rekabet ihlallerinin çoğunlukla satış pratiklerinden, sektör toplantılarından veya bayi-dağıtım ilişkilerinden doğduğu gözlemlenmektedir. 2025 yılında eğitim, toplantı kuralları, şüpheli davranış raporlama kanalları ve düzenli iç denetim gibi araçlar rekabet uyumunun pratik omurgası olarak öne çıkmıştır.

4) önerilen yaklaşım: Entegre uyum programı

2025’te uyumun genel yönelimi, başlık bazlı parçalı politika üretmekten çok; risk haritası, sözleşme revizyonu, tedarikçi yönetimi ve kanıt üretimi üzerinden entegre bir program kurmayı gerektirmektedir. 

Uygulamada ilk adım, hızlı risk üreten alanlarda (veri aktarımı, tedarikçiler, yaptırım taramaları, AI kullanım alanları, kripto/AML süreçleri) envanter çıkarılmasıdır. 

İkinci adım, envantere dayanarak sözleşme setlerinin standardize edilmesi ve özellikle tedarikçi sözleşmelerinde güvenlik/olay bildirimi/denetim haklarının uyum gereklilikleriyle uyumlu hâle getirilmesidir. 

Üçüncü adım ise eğitim, tatbikat ve düzenli iç denetim yoluyla “kanıt üreten” bir uyum işletim sisteminin yerleştirilmesidir. 2025’in ana mesajı, uyumun yalnızca hukuki metin değil, kurumsal işletim kapasitesi olduğudur.

5) Bizi 2026 yılında neler bekliyor?

2026 yılı, 2025 yılında kurulan uyum çerçevelerinin varlığından çok, uygulama olgunluğu ve denetlenebilirliği üzerinden ölçüleceği bir yıl olacaktır. Başka bir ifadeyle 2025’te yapılan envanter, politika, sözleşme revizyonu ve kontrol matrisi çalışmaları; 2026 yılında daha fazla iç/dış denetim, piyasa gözetimi ve “kanıt üretimi” (evidence) üzerinden sınanacaktır. Özellikle yapay zekâ ve veri ekonomisi alanında 2025 yılında başlayan düzenleyici çerçeveler, 2026 yılında şirketlerin süreçlerine daha fazla “iş akışı” düzeyinde yansıyacak; siber güvenlik ve tedarikçi yönetimi ise kurumların zayıf halkası olmaya devam edecektir. Bu sebeple yapılacak sözleşmelerle ve yazılacak içtüzüklerle uygulanabilir denetim mekanizmalarının varlığı önem kazanacaktır.

7) 2026 Yılında Uyum İçin Veri İşleyicileri Nelere Dikkat Etmeli?

2026 yılında veri işleyicileri için temel beklenti, yalnızca sözleşme imzalamak değil; süreç yönetimi, kanıt üretimi, alt işleyici kontrolü üçlüsünü işler hâle getirmektir. Yurt dışına aktarımlarda standart sözleşme kullanılıyorsa, Kişisel Verileri Koruma Kurumunun vurguladığı bildirim süreleri ve dokümantasyon disiplini operasyonel olarak yönetilebilir bir düzene bağlanmalı; imza tarihleri, ekler, aktarım haritası ve güvenlik tedbirleri hazır sunulabilir halde tutulmalıdır.

Bunun yanında alt işleyici (sub-processor) katmanı 2026’da daha kritik olacaktır: alt işleyici listesi, değişiklik bildirimi, denetim hakkı ve olay bildirimi süreleri hem sözleşmesel hem operasyonel olarak netleşmelidir. Son olarak olay/ihlal yönetiminde veri işleyicilerin zayıf halkası çoğu zaman koordinasyon olduğunda; tespit, sınıflandırma, müşteri bilgilendirme, düzeltici aksiyon zincirini çalışır tutan bir operasyon kılavuzu ve kayıt düzeni gerekir. 2025 yılının ana mesajı 2026 yılında daha da netleşir: uyum, “yapmak” kadar gösterilebilir şekilde yapmaktır. Bu sürecin uzman avukatlar desteğinde kurum yapısının bir bütün olarak katılımı ile şekillenmesi de ayrıca önem taşımaktadır. Alınan hukuki destekler ve kurulacak uyum departmanları bu yönde atılacak ilk adımlar olacaktır.