Updated on 27 Mart 2024

Kişisel Verilerin Korunması Kanunu – 2024 Değişikliklikleri

7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun

Teklif metni (TBMM) | Yasalaşan metin (Resmî Gazete)

16.02.2024 tarihinde TBMM Başkanlığına sunulan Kanun Teklifi, az sayıdaki değişikliğin ardından 02.03.2024 günü TBMM Genel Kurulunda kabul edilerek yasalaşmıştır. 12.03.2024 tarihli Resmî Gazete’de yayınlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Kanun“), 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK“) çeşitli değişiklikler öngörmektedir.

Kanun’la, Türkiye’nin strateji ve politika belgelerinde belirttiği üzere KVKK’nın AB Genel Veri Koruma Tüzüğüyle (GDPR) uyumlu hâle getirilmesi ve uygulamadaki ihtiyaçlara çözüm üretilmesi konusundaki ilk değişiklikler gerçekleştirilmiştir. Buna göre KVKK‘nın yürürlükteki üç maddesinde (m. 6, m. 9 ve m. 18) değişiklik yapılmış ve geçiş hükmü mahiyetinde bir hüküm (geçici madde 3) ihdas edilmiştir.

KVKK Reformu

🗓️ 6 Mart 2024
📍 Türk-Alman Üniversitesi

Yürürlük

Kanun’un KVKK’yı ilgilendiren hükümlerinin, Kanun m. 40 uyarınca 1 Haziran 2024 itibariyle yürürlüğe girmesi öngörülmüştür. Ne var ki Kanun’la ihdas edilen Geçici Madde 3, KVKK’nın Kanun’la değiştirilmeden önceki m. 9/1’in 1 Eylül 2024 tarihine kadar uygulanmaya devam edileceğine dair istisnai bir yürürlük hükmü içermektedir.

Yasama süreci

  • 12 Mart 2024 🗓️ TBMM Genel Kurulunda kabul edilen Kanun, 7499 sayısını alarak 12.03.2024 tarihli Resmî Gazete’de yayınlanmıştır.
    * 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun / Resmî Gazete
  • 2 Mart 2024 🗓️ Değişiklik teklifi, TBMM Genel Kurulunda az sayıda değişikliğe tabi tutularak kabul edilmiştir. Genel Kurul’daki müzakereler esnasında, teklif metninden m. 6/2-e, m. 6/2-g’nin çıkarılmasına yönelik sunulan önergeler reddedilmiştir. Komisyon’da olduğu gibi 9 ve 18. maddelere dair bir önerge sunulmamış; yalnızca teklif metnindeki m. 9/9’un veri güvenliği bakımından problemli olduğu ifade edilmiştir.
    * 28. Dönem 2. Yasama Yılı 67. Birleşim – Ham Tutanak 2 Mart 2024
  • 21 Şubat 2024 🗓️  Adalet Komisyonu’ndaki müzakereler neticesinde, teklif metni kabul edilmiştir. Müzakereler esnasında, teklif metninden m. 6/2-e ve 6/2-g’nin çıkarılmasına yönelik sunulan önergeler reddedilmiştir. Değiştirilmesi teklif edilen 9 ve 18. maddelere dair bir önerge sunulmamıştır. Ayrıca KVKK m. 28/1-d’ye “mesleki faaliyetleri kapsamında avukatlar” ifadesinin eklenmesine dair önerge de reddedilmiştir.
    * Adalet Komisyonu Raporu 26 Şubat 2024
    ** İncelenmemiş komisyon tutanakları: 20 Şubat 2024, 21 Şubat 2024
  • 16 Şubat 2024 🗓️ Değişikliğin yasalaşmasına ilişkin süreç 126 milletvekilinin imzasını taşıyan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi’nin 16 Şubat 2024 tarihinde TBMM Başkanlığına sunulmasıyla başlamıştır. Değişiklik teklifi, esas komisyon sıfatıyla Adalet Komisyonu’na sevk edilmiştir.
    * Tam metin

Özetle Kanun değişiklikleri neleri içeriyor?

KVKK m. 6 – Özel nitelikli kişisel verilerin işlenmesi

  • Sağlık ve cinsel hayata ilişkin verilerin, özel nitelikli veriler içindeki hususi konumu ortadan kaldırılarak bu veriler, diğer özel nitelikli kişisel verilerle aynı işleme şartlarına tabi tutuluyor.
  • Özel nitelikli kişisel verilerin işlenmesindeki kural – istisna sistematiği tamamıyla değiştiriliyor. Bu tür verilerin, istisnai olarak işlenmesinin mümkün olduğu durumlar sekiz bent şeklinde sayılmak suretiyle genişletiliyor. 🆚 GDPR’deki istisnai durumların on bent hâlinde sayıldığını ve bunlardan kamusal menfaat gibi ucu açık kavramların Kanun’a alınmadığını ifade etmekte fayda var.

KVKK m. 9 – Kişisel verilerin yurt dışına aktarılması

  • Kişisel verilerin yurt dışına aktarılmasında açık rıza merkezli anlayıştan, “yeterlilik kararı > uygun güvenceler > arızi haller” şeklindeki silsileyi içeren bir sistematiğe geçiş yapılıyor. Böylelikle yurt dışı aktarım mekanizmasının uygulamadaki ihtiyaçlara göre kolaylaştırılması ve GDPR’yle uyumlu hâle getirilmesi amaçlanıyor. 🆚 Aktarım imkânları GDPR’de olduğu gibi veri sorumlusu için kolaylaştırılmakla birlikte GDPR’deki onaylanmış sertifikasyon mekanizması ile davranış kuralları gibi ek bazı kolaylaştırıcı yollar Kanun’da yer almıyor.
  • Veri sorumluların yanı sıra veri işleyenlerin de yurt dışına aktarım yapabileceği açıkça hüküm altına alınıyor.
  • Veri sorumlusu ve veri işleyenlerin, yurt dışına aktarılan kişisel verilerin sonraki aktarımları bakımından da Kanunda öngörülen güvenceleri taşıması zorunlu kılınıyor.
  • Yeterlilik kararının yalnızca bir ülkeye değil, uluslararası kuruluş veya bir ülkedeki sektöre yönelik olabileceği öngörülüyor. Böylelikle Gerekçe’de belirtildiği üzere, örneğin yeterlilik kararının ülkenin tamamı yerine, o ülkedeki otomotiv sektörüne yönelik olması imkanı tanınıyor.

KVKK m. 18 – Kabahatler

  • Kanun’la, yurt dışına aktarım mekanizması çerçevesinde öngörülen yollardan biri olan standart sözleşmeleri, imzasından sonraki beş iş günü içinde Kurul’a bildirmeyen veri sorumlusu ve veri işleyenler hakkında yeni bir kabahat öngörülüyor. (50.000 TL – 1.000.000 TL arasında idari para cezası)
  • Kurul tarafından verilen idari para cezalarına karşı idare mahkemeleri görevli kılınıyor. Böylelikle bazı istisnaları bulunmakla birlikte sulh ceza hakimliklerinin Kurul tarafından verilen idari para cezalarına karşı yeterli inceleme yapmadan karar verdiğine yönelik problemin çözülmesi amaçlanıyor. Bu mesele, hatırlanacağı üzere Anayasa Mahkemesi’nin 15 Aralık 2023 tarihli Resmî Gazete’de yayınlanan M.I.I. başvurusuna dair kararıyla iyice gün yüzüne çıkmıştı. (Kararla ilgili bilgi notu için tıklayınız)

7499 sayılı Kanun’la Değişik KVKK Hükümleri

Madde 6- Özel nitelikli kişisel verilerin işlenme şartları

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) (Mülga:  2/3/2024 – 7499/33 md.)

(3) (Değişik: 2/3/2024 – 7499/33 md.) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

halinde mümkündür.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Madde 9- Kişisel verilerin yurt dışına aktarılması

(Değişik: 2/3/2024 – 7499/34 md.)

(1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

(3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:

a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.

b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.

c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.

ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.

d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.

e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.

(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.

b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

ç) Aktarımın üstün bir kamu yararı için zorunlu olması.

d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.

(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

Madde 18- Kabahatler

(1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

d) (Ek: 2/3/2024 – 7499/35 md.) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.

(2) (Değişik : 2/3/2024 – 7499/35 md.) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) (Ek: 2/3/2024 – 7499/35 md.) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.

(4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Geçici Madde 3-

(Ek: 2/3/2024 – 7499/36 md.)

(1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur.

(2) 1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam olunur.

Değişikliğe dair zihin haritaları

4 sayfadan oluşan zihin haritasını indirmek için tıklayınız (PDF).

Değişikliğe dair gerekçe

16.02.2024 tarihli Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (“Teklif“)

Genel gerekçe

24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun hazırlık sürecinde 24 Ekim 1995 tarihli ve 95/46/AT sayılı Kişisel Verilerin İşlenmesi Bakımından Bireylerin Korunması ve Bu Tür Verilerin Serbest Dolaşımı Hakkında Avrupa Parlamentosu ve Konsey Direktifi nazara alınmıştır. Kanunun yürürlüğe girmesinden iki yıl sonra bu Direktif yürürlükten kaldırılmış ve daha ayrıntılı düzenlemeler içeren 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation-GDPR) 28/5/2018 tarihinde yürürlüğe konulmuştur. Genel Veri Koruma Tüzüğünün yürürlüğe girmesinden sonra çeşitli eylem planlarında 6698 sayılı Kanunun, Tüzük nazara alınarak güncellenmesi hedefine yer verilmiştir. 2021 yılında açıklanan İnsan Hakları Eylem Plamnda, Ekonomi Reformları Eylem Planında ve 2024-2026 Orta Vadeli Programda GDPR’a uyum sağlanması hedeflerine yer verilmiştir. Bu kapsamda Teklifle öncelikle ihtiyaç duyulan özel nitelikli kişisel verilerin işlenme şartları ile yurt dışına veri aktarımına ilişkin hükümlerde değişiklik yapılmaktadır.

Madde gerekçeleri

KVKK m. 6 (Teklif, m. 33)

MADDE 33- Maddeyle, 6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı maddesinde değişiklik yapılmaktadır. Mevcut 6 ncı maddeye göre sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenebilmesi, sadece ilgili kişinin açık rızasının bulunması veya kanunlarda öngörülmesi halinde mümkündür. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise açık rızanın dışında sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanı, yönetimi ve planlanması amacıyla işlenebilmektedir. Buna göre mevcut düzenleme uyarınca sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilmektedir. Ancak başta sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında sağlık verisine ihtiyaç bulunmaktadır.

Değişiklikle, özel nitelikli kişisel verilerin işlenme şartları, güncel ihtiyaçlar ve Avrupa Birliği Genel Veri Koruma Tüzüğü nazara alınarak yeniden düzenlenmektedir. Maddenin ikinci fıkrasında özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm muhafaza edilmekte ve özel nitelikli kişisel verilerin işlenebileceği haller tahdidi olarak sayılmaktadır. Bu fıkrada sayılan hallerden birinin varlığı halinde özel nitelikli kişisel verilerin işlenmesi mümkün olacaktır.

İkinci fıkranın (a) bendine göre, ilgili kişinin açık rızasının bulunması halinde özel nitelikli kişisel verileri işlenebilecektir. Fıkranın (b) bendine göre, kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler işlenebilecektir. Örneğin; 5352 sayılı Adli Sicil Kanunu uyarınca ceza mahkûmiyetine ilişkin verilerin işlenmesi ve 2559 sayılı Polis Vazife ve Salâhiyet Kanununun 5 inci maddesi uyarınca kişilerin parmak izlerinin alınması bu bent kapsamında değerlendirilecektir.

Fıkranın (c) bendinde fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde özel nitelikli kişisel verilerin işlenmesine imkân tanınmaktadır. Örneğin; herhangi bir sebeple bilinç kaybından ötürü rızasını açıklayamayacak durumda olan kişinin hayatının veya beden bütünlüğünün korunması amacına mahsus olarak kan grubu ve geçirilen hastalıklar gibi özel nitelikli kişisel verileri işlenebilecektir.

Fıkranın (ç) bendi uyarınca, ilgili kişinin özel nitelikli kişisel verilerini alenileştirmesi halinde, bu verilerin alenileştirme iradesine uygun olarak işlenmesine imkân tanınmaktadır. Örneğin; bir kişinin acil durumlarda kullanılması için, herkesçe erişilebilir bir alanda paylaşmış olduğu kan grubu ve alerji bilgileri gibi kişisel verilerinin bu amaca uygun olarak işlenmesi ve kullamiması hukuka uygun olacaktır.

Fıkranın (d) bendine göre özel nitelikli kişisel veriler, bir hakkın tesisi, kullamiması veya korunması için zorunlu olması halinde işlenebilecektir. Örneğin; iş sözleşmesinin sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması bakımından işverenin eski işçisine ait sağlık verilerini saklamaya devam etmesi bu kapsamda değerlendirilebilecektir. Aynı şekilde, engelli bir kişinin özel tüketim vergisinden istisna olarak araç alma hakkından yararlanabilmesi için bu kişinin engelli raporunun vergi dairesi tarafından işlenmesi de mümkün olacaktır.

Fıkranın (e) bendiyle, özel nitelikli kişisel verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinin gerekli olması, başka bir veri işleme şartı olarak düzenlenmektedir. Buna göre, Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu bentte yazılı amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirilecektir.

Fıkranın (f) bendine göre özel nitelikli kişisel veriler, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması durumlarında da işlenebilecektir. Örneğin; 4857 sayılı İş Kanunuyla işverenlere verilen engelli veya hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından kişilerin sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işverenlerce işlenmesi bu bent kapsamında değerlendirilecektir. Aynı şekilde, diyaliz hastalarına sunulan sağlık kuruluşuna taşıma hizmetinin yerine getirilebilmesi için kişinin sağlık raporunun işlenmesi de mümkün olacaktır.

Fıkramn (g) bendinde, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesi düzenlenmektedir. Buna göre, bu kuruluş ve oluşumlar, mevcut ve eski üyeleri ile bu kuruluş ve oluşumlarla düzenli olarak temas halinde olan kişilerin özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin; bu kuruluş ve oluşumların mevcut üyelerinin yanı sıra eski üyeleri ve düzenli olarak bağış yapmak suretiyle kendisiyle temas halinde olan kişilerin bu durumlarına ilişkin bilgiyi işlemesi bu bent kapsamında değerlendirilecektir. Aynı şekilde bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın sendika üyelerinin sağlık veya dinine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işlenemeyecektir.

Maddenin mevcut dördüncü fıkrası uyarınca özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından belirlenen yeterli önlemlerin alınması şartı aynen devam edecektir.

KVKK m. 9 (Teklif, m. 34)

MADDE 34- Maddeyle, 6698 sayılı Kanunun 9 uncu maddesinin değiştirilmesi öngörülmektedir. Kanunun 9 uncu maddesinde kişisel verilerin yurt dışına aktarılması usulü düzenlenmiştir. Maddenin mevcut birinci fıkrasına göre kişisel veriler ilgili kişinin açık rızasıyla yurt dışına aktarılabilmektedir. Maddenin mevcut ikinci fıkrasına göre, ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılabilmesi için Kanunun 5 inci maddesinin ikinci fıkrası ile 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin bulunması ve Kurul tarafından kişisel verilerin aktarılacağı ülke bakımından yeterli korumanın bulunduğuna karar verilmiş olması (yeterlilik kararı) gerekmektedir. Bununla birlikte hakkında yeterli korumayı sağladığı yönünde karar bulunmayan ülkelere, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılması, veri işleme şartlarından birinin bulunması şartıyla sadece Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izin vermesi durumunda mümkündür.

Kanunun uygulamasına bakıldığında, Ülkemizden yabancı ülkelere kişisel veri aktarılması, ilgili kişilerin tek tek açık rızasının alınması dışında sadece Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izin vermesiyle yapılabilmektedir. Günümüze kadar Kurula sekseni aşkın taahhütname başvurusu yapılmış olup, bunlardan çok azına izin verilmiştir. Bu nedenle yurt dışına veri aktarılması uygulamada sadece ilgili kişilerin açık rızalarının alınmasına bağlı hale gelmiştir. Bu durum, ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği gibi. Ülkemize yapılacak yatırımları da engelleyici bir hal almıştır.

Avrupa Birliği, 2018 yılında yürürlüğe koyduğu Genel Veri Koruma Tüzüğüyle her geçen gün gelişen teknoloji ve dijitalleşme ile ticari hayatın dinamikliğinin doğurduğu ihtiyaçları nazara alarak, ilgili kişilerin haklarını da koruyacak şekilde Avrupa Birliği dışına veri aktarılması bakımından yeni yöntemler öngörmüştür. Maddeyle Kanunun 9 uncu maddesi Tüzüğün ilgili hükümleri esas alınarak değiştirilmektedir.

Maddenin birinci fıkrasına göre kişisel verilerin yurt dışına aktarılabilmesi için kural olarak, Kanunun 5 inci ve 6 ncı maddelerindeki veri işleme şartlarından birinin varlığı ve kişisel verilerin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı verilmiş olması gerekmektedir. Mevcut hükümden farklı olarak yabancı ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilmesine imkân tanınmaktadır. Örneğin; Ülkemizdeki otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü bakımından yeterlilik kararı verilmesi mümkün hale gelmektedir.

Maddenin ikinci fıkrasında yeterlilik kararının alınma usulü düzenlenmektedir. Buna göre, Kurul ihtiyaç duyması halinde ilgili kurum ve kuruluşlardan görüş almak suretiyle yeterlilik kararını en geç dört yılda bir değerlendirecektir. Bu süre zarfında Kurul tarafından verilen yeterlilik kararının değerlendirilmemesi durumunda yeterlilik kararı geçerliliğini korumaya devam edecektir. Aynı fıkra gereğince Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde yeterlilik kararını ileriye etkili olmak üzere değiştirebilecek, askıya alabilecek veya kaldırabilecektir. Fıkrada düzenlenen dört yıllık süre düzenleyici süre olup, Kurul bu süre dolmadan da yeterlilik kararım gözden geçirebilecektir.

Maddenin üçüncü fıkrasında yeterlilik kararı verilirken Kurulun öncelikle dikkate alacağı ölçütler düzenlenmektedir. Fıkra’da sayılan bu ölçütler tahdidi nitelikte olmayıp, Kurul yeterlilik kararı verirken gerekli gördüğü başkaca hususları da dikkate alabilecektir.

Dördüncü fıkrada, hakkında yeterlilik kararı bulunmayan ülkelere kişisel veri aktarılması bakımından Tüzüğün ilgili hükümleri nazara alınarak yeni yöntemler getirilmektedir. Buna göre hakkında yeterlilik karan bulunmayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörlere, 5 inci ve 6 ncı maddelerdeki veri işleme şartlarından birinin varlığı halinde, aktarımın yapılacağı ülkede de ilgili kişinin haklarım kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla, fıkrada bentler halinde sayılan “uygun güvencelerden” birinin sağlanması durumunda kişisel veri aktarılması mümkün olacaktır.

Dördüncü fıkranın (a) bendine göre yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurulun aktarıma izin vermesiyle yurtdışına veri aktarılması mümkün olabilecektir. Buna göre, Ülkemizdeki bir kamu kurumunun yabancı ülkedeki ilgili kamu kurumuyla belli alanda yapacağı işbirliği protokolü çerçevesinde, Kurulun izin vermesi şartıyla, karşılıklı yapılacak faaliyetlerin gerektirdiği kişisel verilerin yurt dışındaki kamu kurumuna aktarılması mümkün olacaktır.

Dördüncü fıkranın (b) bendine göre, aynı teşebbüs grubundaki şirketlerin uymakla yükümlü oldukları ve kişisel verilerin korunmasına ilişkin hükümler ihtiva eden Kurulun onayladığı bağlayıcı şirket kurallarının varlığı halinde, 5 inci ve 6 ncı maddedeki veri işleme şartlarından birinin bulunması kaydıyla, Kuruldan ayrıca izin almaya gerek olmadan bu şirketler arasında veri aktarımı yapılabilecektir. Böylece Kurulca onaylanmış bağlayıcı şirket kurallarını haiz bir teşebbüs grubunun Ülkemizdeki şirketinden, aynı grubun yabancı ülkedeki şirketine Kuruldan ayrıca izin alınmaksızın veri aktarılması mümkün olacaktır.

Dördüncü fıkranın (c) bendi uyarınca, Kurul tarafından ilan edilen standart sözleşmenin imzalanması suretiyle ayrıca bir izne ihtiyaç olmaksızın veri aktarılması mümkün olabilecektir. Standart sözleşme; veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafmdan alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva edecektir.

Dördüncü fıkranın (ç) bendine göre yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi durumunda da yeterlilik kararı bulunmayan bir ülkeye kişisel veri aktarılabilecektir.

Maddenin beşinci fıkrasında, standart sözleşmenin, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kişisel Verileri Koruma Kurumuna bildirilmesi düzenlenmektedir.

Maddenin altıncı fıkrasındaki düzenlemeyle, yeterlilik kararı bulunmayıp ve dördüncü fıkrada öngörülen uygun güvencelerden birinin sağlanamadığı bazı istisnai durumlarda; arızi olmak kaydıyla, diğer bir ifadeyle tek veya birkaç sefer ve süreklilik taşımayacak şekilde, yurt dışına veri aktarılmasına imkân sağlanmaktadır. Örneğin; Türkiye’deki bir şirketin yurt dışında bulunan bir şirketle arızi olarak gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat halinde olacak çalışanlarına ilişkin bilgileri paylaşması bu fıkranın (c) bendi kapsamında değerlendirilecektir.

Yedinci fıkrayla özel statüleri nazara alınarak, kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerine altıncı fıkranın (a), (b) ve (c) bentlerinin uygulanmayacağı hüküm altına alınmaktadır.

Sekizinci fıkrada, kişisel verilerin yurtdışına aktarılmasından sonraki aktarımlar bakımından da bu Kanundaki güvencelerin sağlanacağı ve bu madde hükümlerinin uygulanacağı düzenlenmektedir.

Maddenin mevcut beşinci ve altıncı fıkraları dokuzuncu ve onuncu fıkra olarak aynen korunmakta ve onbirinci fıkrayla maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenlenmesi hüküm altına alınmaktadır.

KVKK m. 18 (Teklif, m. 35)

MADDE 35- Maddeyle, 6698 sayılı Kanunun 18 inci maddesinde değişiklik yapılmaktadır. Teklifle değiştirilen 9 uncu maddenin beşinci fıkrasma göre veri sorumluları veya veri işleyenler, imzalanan standart sözleşmeyi Kuruma bildirmekle yükümlüdür. Bu bildirim yükümlülüğünün yerine getirilmemesi idari yaptırıma bağlanmaktadır.

Maddenin ikinci fıkrasında yapılan değişiklikle, birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında, (d) bendinde öngörülen idari para cezası ise veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır. Veri işleyenlere standart sözleşmenin bildirilmesi bakımından ilk kez sorumluluk yüklenmiş olması sebebiyle, fıkranın (d) bendindeki yaptırımın veri sorumlusunun yanı sıra veri işleyene de tatbik edilmesi hükme bağlanmaktadır.

Ayrıca, Kurulca verilen idari yaptırım kararlarımn mahiyeti dikkate alınarak, bu kararlara karşı sulh ceza hâkimliğine başvuru yerine idare mahkemelerine dava açılması imkânı tanınmaktadır.

KVKK Geçici Madde (Teklif, m. 36)

MADDE 36- Maddeyle, 6698 sayılı Kanuna geçici madde eklenmektedir. Maddenin birinci fıkrasıyla, 9 uncu maddede yapılan değişikliklerin yürürlüğe girmesinden sonra yaşanabilecek aksaklıklar dikkate alınarak, maddenin birinci fıkrasının değişiklikten önceki hükümlerinin maddede yapılan değişiklikle beraber üç ay daha uygulanması öngörülmektedir. Böylelikle Kanun değişikliğinin yürürlüğe girmesinden önce alınmış veya sonra alınacak açık nzaya dayalı olarak Kanun değişikliğinin yürürlüğe girmesinden itibaren üç ay daha yurt dışına veri aktarılmasına imkân tanınmaktadır.

Teklifle, Kurulca verilen idari para cezalarına karşı sulh ceza hâkimliklerine başvuru ve itiraz yerine idare mahkemelerinde dava açılması öngörüldüğünden, maddenin ikinci fıkrasıyla bu hükme ilişkin geçiş düzenlemesi yapılmaktadır. Buna göre, 1/6/2024 tarihi itibarıyla sulh ceza hâkimlikleri önünde bulunan dosyalar, bu hâkimliklerce nihai karara bağlanacaktır.