6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına İlişkin Kanun ile birtakım değişikliklere uğradı.
Detayları dokümanımızda bulabilirsiniz.
1. www.Jurcom.nl
12 Mart 2024 tarihli ve 32487
sayılı Resmî Gazete’de
yayımlanan Ceza
Muhakemesi Kanunu ile
Bazı Kanunlarda Değişiklik
Yapılmasına İlişkin Kanunda
KVKK’ya Yönelik Değişiklikler
2. www.Jurcom.nl
Liva Sefer
Privacy & Compliance Counsel | Lawyer | ISO 27001 LA | LLM Candidate
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), 12 Mart 2024 tarihli ve 32487 sayılı
Resmî Gazete’de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik
Yapılmasına İlişkin Kanun ile birtakım değişikliklere uğradı.
KVKK Reform Yasası olarak adlandırılan değişiklik esasında dört maddeyi içermektedir.
Yurtdışına aktarım, özel nitelikli kişisel veriler, idari para cezaları ve geçici madde hükümleri şu
şekilde özetlenebilir:
1. Özel nitelikli kişisel verilerin işlenme koşulları genişletilmiştir.
2. Kişisel verilerin yurt dışına aktarılması için farklı bir düzenleme getirilmiş, açık rıza
istisna olarak kabul edilmiştir.
3. Kişisel verilerin yurt dışına aktarılması durumunda, veri işleyenler ile veri sorumluları
arasında müteselsil sorumluluk kabul edilmiş ve idari para cezaları getirilmiştir.
4. Kurul'un kararlarına karşı tek bir idari yargı yolunun belirlenmesi sağlanmıştır.
ÖZEL NİTELİKLİ KİŞİSEL VERİLERE İLİŞKİN DEĞİŞİKLİKLER
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları,
kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve
güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler, özel nitelikli kişisel veri
kapsamına girer. Bu tür verilerin işlenmesi esasen Kanun ile yasaklanmıştır. Ancak yeni
düzenleme ile bu özel nitelikli veriler, aşağıdaki hukuki temellere dayanarak işlenebilecektir:
1- Açık rıza
2- Kanunlarda açıkça öngörülme: Örneğin; 5352 sayılı Adli Sicil Kanunu uyarınca ceza
mahkumiyeti verilerinin işlenmesi, 5490 sayılı Nüfus Hizmetleri Kanunu’nun 41. maddesi
uyarınca biyometrik verilerin işlenmesi vb.
3- Fiili imkânsızlık
4- Alenileştirme: Acil durumlarda kullanılmak üzere herkesçe bilinir bir alana kan grubu
ve gerekli sağlık bilgilerinin yerleştirilmesi bu duruma örnek olarak gösterilebilir. Fakat her
halükârda alenileştirme işleminin hukuka uygun gerçekleştirilmesi gerekmektedir. Yapay zekâ
vb. sistemler ile yapılan iş kolu işlemlerinde ilgili hukuki sebebin dayanak olarak
gösterilmesinin de önü açılmıştır.
5- Bir hakkın tesisi, kullanılması veya korunması için zorunluluk
6- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
tarafından işleme: Sağlık Bakanlığı ve her türlü sağlık kuruluşunun ve Sosyal Güvenlik
Kurumu’nun veri işlemesi bu kapsamda değerlendirilebilecektir.
7- İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile
3. www.Jurcom.nl
sosyal yardım alanındaki hukuki yükümlülükler için işleme: Veri sorumlularının çalışanlar
işe başlarken veya devamlılık sürecinde aldığı sağlık raporları artık bu hukuki sebep
kapsamında değerlendirilecektir. Bu hukuki sebebin yalnızca İş Hukuku’nun çizdiği çerçevede
değerlendirilmesi gerekmektedir.
8- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr
amacı gütmeyen kuruluş ya da oluşumlara ilişkin özel işleme sebebi: Kar amacı gütmeyen
kuruluşlar ile siyasi partilerin veri işlemesi kolaylaştırılmıştır.
Tüm bu verilerin işlenmesiyle ilgili olarak, Kurul tarafından belirlenen yeterli önlemlerin
alınması gerekliliği korunduğundan dolayı, teknik ve idari tedbirler konusunda herhangi bir
değişiklik olmamıştır.
YURT DIŞI AKTARIMA İLİŞKİN DEĞİŞİKLİKLER
Yurt dışına veri aktarımıyla ilgili yeni düzenleme ile birlikte kademeli ve alternatif bir aktarım
rejimi oluşturulmuştur. Kanun, kişisel verilerin yurt dışına aktarılabilmesi için üç farklı yöntemi
öngörmektedir:
1. Yeterlilik kararına dayalı aktarım
2. Uygun güvencelere dayalı aktarım
3. Arızi durumlara özel aktarım
• Yeterlilik Kararına Dayalı Aktarım
Yeni düzenleme, kişisel verilerin KVKK'nın 5. ve 6. maddelerinde belirtilen koşullardan birinin
varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içindeki sektörler hakkında
yeterlilik kararı alınması durumunda, veri sorumluları ve veri işleyenler tarafından yurt dışına
aktarılabileceğini ifade etmektedir. Bu yeni düzenleme, bir ülke, uluslararası kuruluş veya ülke
içindeki sektörler hakkında ayrı ayrı yeterlilik kararı verilmesine olanak tanımaktadır.
• Veri İşleyenlerin de Sorumlu Tutulduğu Düzenleme
KVKK Reform Yasası, veri işleyenlerin kişisel verilerin yurt dışına aktarılması sürecinde bir aktör
olarak tanımlanmasını ve bu durumun beraberinde sorumluluk getirmesini sağlamıştır.
Yasanın bir hükmü olarak, kişisel verilerin yurt dışına aktarılmasına yönelik yeni bir idari para
cezası getirilmiştir. Bu cezanın muhatabı sadece veri sorumluları değil, aynı zamanda veri
işleyenlerdir.
• Yeterlilik Kararına İlişkin Esaslar Korunmuştur
4. www.Jurcom.nl
Yeni düzenlemeye göre, yeterlilik kararı Kurul tarafından verilecek ve bu karar Resmi Gazete'de
yayımlanacaktır. Kurul, gerektiğinde ilgili kurum ve kuruluşların görüşlerini alabilir. Ayrıca,
yeterlilik kararının en geç dört yılda bir değerlendirileceği belirtilmiştir. Kurul, bu dört yıllık süre
dolmadan yeterlilik kararını gözden geçirebilir, değiştirebilir, askıya alabilir veya kaldırabilir.
Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınacaktır:
1. Kişisel verilerin aktarılacağı ülke, ülke içindeki sektörler veya uluslararası kuruluşlar ile
Türkiye arasındaki kişisel veri aktarımına ilişkin karşılıklılık durumu.
2. Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin
aktarılacağı uluslararası kuruluşun tabi olduğu kurallar.
3. Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve
etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
4. Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin
korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma
durumu.
5. Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye'nin üye olduğu
küresel veya bölgesel kuruluşlara üye olma durumu.
6. Türkiye'nin taraf olduğu uluslararası sözleşmeler.
• Yeterlilik Kararı Bulunmaması Durumunda Açık Rızaya Gitmeksizin Güvencelere
Dayalı Aktarım
Yeterlilik kararı bulunmaması durumunda, kişisel verilerin yurt dışına aktarılabilmesi için
uygun güvencelerin varlığı koşuluyla da aktarım gerçekleştirilebilir. Yeterlilik kararı
bulunmaması halinde, ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanabilme ve etkili
kanun yollarına başvurma imkanının bulunması şartıyla, veri sorumluları ve veri işleyenler
tarafından yurt dışına aktarım mümkün hale gelir.
Yeni rejimde, yurt dışına kişisel verilerin aktarılmasında veri sorumlularının yanı sıra veri
işleyenlerin de temel birer aktör olarak kabul edilmesi nedeniyle, veri işleyenlere uygun
güvencelere dayalı olarak kişisel verilerin yurt dışına aktarılma imkanı sağlanmıştır.
Güvencelere dayalı aktarım için her durumda üç ön koşul aranır:
1. KVKK'nın 5. ve 6. maddelerinde belirtilen koşullardan birinin varlığı gereklidir.
2. İlgili kişinin haklarının aktarımın yapılacağı ülkede kullanılabilmesi mümkün olmalıdır.
3. Aktarımın yapılacağı ülkede kişisel verilerin korunmasına ilişkin etkili kanun yollarına
başvurma imkanı bulunmalıdır.
Bu hükümler zorunludur ve diğer alt koşullarla birlikte gözetilmelidir.
5. www.Jurcom.nl
• Ön koşulların sağlanması ve yurt dışındaki kamu kurum ve kuruluşları veya
uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu
niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde
olmayan anlaşmanın varlığı ve KVKK Kurulu tarafından bu aktarıma izin verilmesi
durumunda, güvencelere dayalı yurt dışına kişisel veri aktarımı
Güvencelere dayalı yurt dışına kişisel veri aktarımının yapılabileceği ilk durum, yurt dışındaki
kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve
kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası
sözleşme niteliğinde olmayan anlaşmanın varlığı ve KVKK Kurulu tarafından bu aktarıma izin
verilmesi halidir.
• Bağlayıcı Şirket Kuralları
Kurul tarafından onaylanmış bağlayıcı şirket kurallarını haiz bir işletme grubunun Türkiye'deki
şirketinden, aynı grubun yabancı ülkedeki şirketine KVK Kurulu'ndan ayrıca izin alınmaksızın
veri aktarılması mümkün olacaktır.
• Ön koşulların sağlanması ve standart sözleşmelerin kullanılması durumunda,
güvencelere dayalı yurt dışına kişisel veri aktarımı yapılması
KVKK'nın yeni 9. maddesinin dördüncü fıkrası uyarınca, Kurul tarafından ilan edilen standart
sözleşmenin varlığı durumunda, ki veri kategorileri, veri aktarımının amacı, alıcı ve alıcı
grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler
için alınan ek önlemler gibi hususları içerir, güvencelere dayalı yurt dışına kişisel veri
aktarımı mümkün olacaktır. Standart sözleşmeler, kişisel verilerin sözleşme hukukuyla
korunmasını sağlayan özel araçlardır. Kişisel veriyi Türkiye’den aktaracak taraf ile kişisel
verilerin alınacağı taraf, KVKK'nın öngördüğü ve yazılı sözleşmeye yansıtılan yükümlülükleri
müzakere eder ve ardından bir karar verir. Yurt dışındaki taraf, bu yükümlülükleri yerine
getirebileceğini, kişisel verilerin bulunduğu ülkede de Türkiye'deki gibi korunacağını taahhüt
edebilir ve bu bilgileri doğrulayabilirse, bu yöntemle bir veri aktarım süreci başlatılabilir.
KVKK'nın yeni 9. maddesine eklenen beşinci fıkraya göre, standart sözleşmelerin
imzalanmasından itibaren 5 iş günü içinde veri sorumlusu veya veri işleyen tarafından KVK
Kurulu'na bildirilmesi gerekmektedir. Bu bildirimin zamanında yapılmaması yaptırıma tabidir
ve 18. maddenin birinci fıkrasına eklenen (d) bendiyle, bu bildirim yükümlülüğünü yerine
getirmeyenler hakkında 50.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası
verilir.
Yeni yurt dışına kişisel veri aktarım rejiminde en çok uygulama alanı bulacak aktarım türü
standart sözleşmelere dayalı olan aktarım şeklidir. Bu güvenceye dayalı aktarım durumunda
6. www.Jurcom.nl
KVK Kurulu’ndan önceden izin almaksızın, doğrudan aktarım gerçekleştirilebilir. Sözleşmenin
imzalanmasından itibaren beş iş günü içerisinde KVK Kurumu’na bu sözleşmenin bildirilmesi
gerekmektedir.
• Kurulu’a yazılı taahhütname sunma usulü
Güvencelere dayalı yurt dışına kişisel veri aktarımı yapılabilme şartlarından biri, yeterli
korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütname ve bu aktarıma KVK Kurulu
tarafından izin verilmesidir. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir
taahhütname ve KVK Kurulu tarafından aktarıma izin verilmesi durumunda, yeterlilik kararı
bulunmayan bir ülkeye kişisel veri aktarılabilir. Bu aktarım türü, 9. maddenin ilk halinde de yer
alan bir aktarım türüdür. Üç ön koşula ilaveten, mevcut aktarım usulü, iki alt koşul getirilerek
muhafaza edilmiştir.
Yeterlilik kararı bulunmaması ve KVKK'nın 9. maddesinin dördüncü fıkrasında öngörülen
uygun güvencelerden birinin sağlanamadığı bazı istisnai durumlarda; arızi olmak
kaydıyla, yani tek veya birkaç seferlik ve sürekli olmayacak şekilde, yurt dışına veri
aktarılmasına imkan sağlanmaktadır.
• Açık rızaya dayalı yurt dışına kişisel veri aktarımı arızi durumlarla sınırlandırılmış
ve açık rıza veren kişilere muhtemel riskler hakkında bilgilendirme unsuru eklenmiştir.
Arızi durumlarda, kişisel verilerin yurt dışına aktarılabilmesi için ilgili kişinin muhtemel riskler
konusunda bilgilendirilmesi şartıyla açık rıza vermesi gerekmektedir. KVKK'nın 9. maddesinde
düzenlenen açık rıza kavramı yeniden tanımlanmış ve kapsamı daraltılmıştır. Bu, KVKK
Reformu'nun en önemli değişikliklerinden biridir.
Kişisel verilerin bir yeterlilik kararı veya güvencelere dayalı olarak aktarılamaması durumunda,
ilgili kişinin hukuki durumu ve riskler konusunda bilgilendirilmesi zorunludur.
İDARİ PARA CEZALARINA İLİŞKİN DEĞİŞİKLİKLER
Standart sözleşmelere ilişkin bildirim yükümlülüğüne ayrıca bir yaptırım getirilmiştir. KVKK'nın
18. maddesinin birinci fıkrasına eklenen (d) bendi ile, standart sözleşmelere ilişkin 5 iş günü
içerisinde bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından
1.000.000 Türk lirasına kadar idari para cezası uygulanması öngörülmüştür.
KVKK'daki yükümlülüklerin ve özellikle idari para cezalarının muhatabı temelde veri
sorumlularıdır. Ancak, KVKK Reform Yasası ile bu hususta önemli bir istisna getirilmiştir.
Standart sözleşmenin imzalandığını Kurul’a bildirme yükümlülüğü, veri sorumlusu ve veri
işleyene yüklenmiş bir görevdir. Taraflar arasında yapılacak bir anlaşma uyarınca, standart
7. www.Jurcom.nl
sözleşmeyi bildirme yükümlülüğünün bir tarafa bırakılması mümkündür. Ancak, bu
sözleşmesel yükümlülüğün taraflardan biri tarafından yerine getirilmemesi, kanuni
sorumluluğu ortadan kaldırmaz.
YARGI YOLUNA İLİŞKİN DEĞİŞİKLİKLER
KVKK’nın 18. maddesine eklenen üçüncü fıkra ile “Kurulca verilen idari para cezalarına karşı,
idare mahkemelerinde dava açılabilir.” hükmü getirilmiştir. Kurul tarafından verilen idari
para cezalarının mahiyeti göz önünde bulundurularak, bu kararların idari yargı
mercilerince denetlenebilmesi sağlanmıştır. Bu sayede, idari para cezalarına karşı hukuki
bir başvuru ve itiraz mekanizması oluşturulmuştur.