Kişisel Verilerin Korunması Kanunu’na İlişkin Son Değişiklikler

12 Mart 2024 tarihli Resmi Gazete’de yayınlanan 7499 sayılı “Ceza Muhakemesi Kanunu İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) bazı maddeleri değiştirilmiştir.

Buna göre; KVKK’da üç önemli değişiklik yapılmıştır:

  1. KVKK’nın 6. maddesinde düzenlenen özel nitelikli kişisel verilerin işlenme şartları genişletilmiştir. Bundan böyle, özel nitelikli verilerin işlenmesi, aşağıdaki koşullardan biri yerine getirildiği takdirde mümkün hale gelmiştir.
  1. İlgili kişinin açık rızasının olması,
  2. Kanunlarda açıkça öngörülmesi,
  3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  4. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  6.  Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  7. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
  • KVKK’nın yurtdışına veri aktarımını düzenleyen 9’uncu maddesi de değiştirilmiştir.  İlgili kişinin açık rızası ve/veya Kişisel Verileri Koruma Kurulu’nun (“Kurul”) onayına tabi olan yurtdışına veri aktarım hususu kolaylaştırılmıştır.
  1. Kişisel veriler, KVKK’nın 5 inci ve 6 ncı maddelerinde belirtilen kişisel veya özel nitelikli kişisel veri işlenme şartlarından birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir. Yeterlilik kararının ne şekilde alınacağı ve alınırken hangi hususların dikkate alınacağı düzenlemiştir.
  • Kişisel veriler, yeterlilik kararının bulunmaması durumunda, KVKK’nın 5 inci ve 6 ncı maddelerinde belirtilen kişisel veya özel nitelikli kişisel veri işlenme şartlarından birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, maddede belirtilen güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir.

Nitekim sayılan bu güvencelerden en önemlisi, Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden veri aktaran ve veri alıcısı arasında akdedilecek standart sözleşmenin varlığıdır.

Fakat bu sözleşmenin imzalanmasından itibaren beş iş günü içinde Kurul’a bildirim yükümlülüğü getirilmiştir. Bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası öngörülmüştür.

  • Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece maddenin devamındaki sayılan hallerden birinin varlığı halinde yurt dışına kişisel veri aktarılabilecektir.
  • Kişisel verilerin yurtdışına aktarılmasına dair maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir.
  • Kurulca verilen idari para cezaları kararlarına karşı idare mahkemelerinde dava açılabileceği düzenlenmiştir.

Söz konusu değişiklikler 1 Haziran 2024 tarihi itibariyle yürürlüğe girecektir.

Bununla birlikte KVKK’nın kişisel verilerin yurtdışına aktarımını düzenleyen 9’uncu maddesinin birinci fıkrasının eski hali, yürürlüğe giren değişik haliyle birlikte 1 Eylül 2024 tarihine kadar uygulanmaya devam edecektir. Buna göre 9uncu maddenin eski haline göre, kişisel verilerin yurtdışına aktarıma dair alınan açık yazılı onaylar 1 Eylül 2024 tarihine kadar geçerli olmaya devam edecektir.