7499 SAYILI KANUN İLE 6698 SAYILI KIŞISEL VERILERIN KORUNMASI KANUNUNDA YAPILAN DEĞİŞİKLİKLER HAKKINDA
12.03.2024 tarihinde 32487 sayılı Resmi Gazetede yayımlanan “Ceza Muhakemesi Kanunu İle
Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” ile 6698 Sayılı Kişisel Verilerin Korunması
Kanununun 6 ncı, 9 uncu ve 18 inci maddelerinde değişiklik yapılmış ve Kanuna yeni bir geçici
madde eklenmiştir. İş bu düzenlemeler aşağıda bilgilerinize sunulmaktadır;
7499 Sayılı Kanun Madde 33;
6698 sayılı Kişisel Verilerin Korunması Kanununun 6 ncı maddesinin ikinci fıkrası
yürürlükten kaldırılmış ve üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir.
“(3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına
hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden
bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca,
kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin
yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım
alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı
gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet
alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve
mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik
olması,
halinde mümkündür.”
AÇIKLAMA: Özel nitelikli kişisel verilerin işlenmesine dair hukuki sebepler genişletilmiştir.
Böylelikle özel nitelikli kişisel veriler, veri sahibinin açık rızasının yanı sıra yukarıda belirtilen
hukuki sebeplerin varlığı halinde rıza aranmaksızın işlenebilecektir. Gerçekleştirilen
değişiklikle: “Kanunlarda açıkça öngörülmüş olma” hukuki sebebi tüm özel nitelikli veriler için
işleme sebebi olarak esas alınırken; özel nitelikli verilerin de genel nitelikli verilerin işlenmesine paralel olacak şekilde “alenileştirme”, “fiili imkansızlık”, “hakkın tesisi, kullanılması,
korunması” hukuki sebepleri ile işlenebileceği düzenlenmiştir. Ayrıca yeni bir hukuki sebep
olarak, özel nitelikli kişisel verilerin “İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal
hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu
olması” durumunda işlemeye konu edilmesi mümkün hale getirilmiştir.
Maddenin yürürlük tarihi 01.06.2024 tarihi olup, Kişisel Verileri Koruma Kurumu(KVKK)
geçiş sürecinde veri sorumluları ve veri işleyenlerin yeni düzenlemelere uyum sağlamak adına
hazırlık çalışmalarını titizlikle ve ivedilikle yürütmeleri gerektiğini duyurmuştur.
7499 Sayılı Kanun Madde 34;
6698 sayılı Kanunun 9 uncu maddesi aşağıdaki şekilde değiştirilmiştir.
“MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve
aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında
yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına
aktarılabilir.
(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç
duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir
değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik
kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:
a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile
Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin
aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin
bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla
ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu
küresel veya bölgesel kuruluşlara üye olma durumu.
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.
(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde
belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma
ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun
güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından
yurt dışına aktarılabilir:
a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan
uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin
verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü
oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından
onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları,
veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek
önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul
tarafından aktarıma izin verilmesi.
(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri
işleyen tarafından Kuruma bildirilir.
(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada
öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak
kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi
üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında
yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu
olması.
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki
geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile
erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla
aktarım yapılması.
(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi
faaliyetlerine uygulanmaz.
(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki
aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler
sağlanır ve bu madde hükümleri uygulanır.
(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili
kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya
kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.”
AÇIKLAMA: Kişisel verilerin yurtdışına aktarımı değişiklik öncesinde oldukça sınırlı
tutulmuştur. Hali hazırda katı sınırlara tabi tutulmuş aktarım faaliyeti ayrıca, yabancı ülkeler
için aradan geçen sürede yeterlilik kararı verilmemiş olması ve yurtdışı aktarım taleplerinin
ciddi oranda reddedilmesi sebebiyle kitlenmiş, aktarım sağlayacak tarafları fiiliyatta veri
sahibinin açık rızasına muhtaç kılmıştır. Yeni düzenleme ile veri aktarımı adına farklı
alternatifleri barındıran aşamalı bir usul öngörülürken temel olarak: yeterlilik kararının konusu,
ülkelerin yanı sıra, uluslararası kuruluş ve sektörler de dahil edilerek genişletilmiş; yeterlilik
kararı tesis etme usulü detaylandırılmış; veri aktaran taraf tanımına veri işleyenler de eklenerek
hukuki belirlilik sağlanmış; aktarım yeterlilik kararına muhtaç bırakılmayarak, yasal hukuki
sebepler ile birlikte uygun güvencelerin varlığı halinde buna olanak tanınmış; “arızi aktarım
yöntemi” ilk kez düzenlenmiştir.
Maddenin yürürlük tarihi 01.06.2024 tarihidir
7499 Sayılı Kanun Madde 35;
6698 sayılı Kanunun 18 inci maddesinin birinci fıkrasına aşağıdaki bent eklenmiş, ikinci
fıkrası aşağıdaki şekilde değiştirilmiş, maddeye ikinci fıkrasından sonra gelmek üzere aşağıdaki
fıkra eklenmiş ve diğer fıkra buna göre teselsül ettirilmiştir.
“d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine
getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,”
“(2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri
sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek
kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.”
“(3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.”
AÇIKLAMA: 6698 sayılı Kanunun verinin yurtdışına aktarımına dair 9 uncu maddesinde
gerçekleştirilen düzenlemeye paralel olarak, veri sorumlusunun/veri işleyenin imzalanan
standart sözleşmeyi 5 iş günü içerisinde KVKK’na sunmaması idari para cezasına bağlanmıştır.
Bu noktada veri aktaran tarafa veri işleyenlerin de dahil edilmiş olması idari sorumluluğu da
beraberinde getirmiş ve müeyyidenin aykırılık sergileyen veri işleyen aleyhine de tesis
edilebileceği açıkça düzenlenmiştir.
Ayrıca Kurul tarafından tahakkuk ettirilecek idari para cezalarına ilişkin ihtilafların İdare
Mahkemelerince(Sulh Ceza Hakimliği yerine) ele alınacağı düzenlenmiştir. Böylelikle İdare
Mahkemeleri Kurulun para cezasına ilişkin olan ve olmayan işlemlerinin yargısal denetiminde
tek görevli haline gelmiştir. Maddenin yürürlük tarihi 01.06.2024 tarihidir.
7499 Sayılı Kanun Madde 36;
6698 sayılı Kanuna aşağıdaki geçici madde eklenmiştir.
“GEÇİCİ MADDE 3- (1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla
değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle
birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur.
(2) 1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu
hâkimliklerce görülmeye devam olunur.”
AÇIKLAMA: 6698 sayılı Kanunun verinin yurtdışına aktarımına dair 9 uncu maddesinde
gerçekleştirilen düzenleme için yürürlük tarihi 01.06.2024 tarihi olarak belirlenmiştir. Ancak
yukarıda alıntılanan geçici madde ile, 9.maddenin değişiklikten önceki birinci fıkrasının (kişisel
verilerin yurtdışına açık rıza ile aktarılabileceğine dair) 01.09.2024 tarihine kadar, maddenin
değişik hali ile birlikte uygulanacağı düzenlenmiş durumdadır. Böylelikle geçiş sürecinde
yaşanabilecek aksaklıkların önüne geçilmek istenmiş ve 01.09.2024 tarihine değin kişisel
verilerin, yeni maddede belirtilen alternatifli usullerin yanı sıra genel açık rızaya dayalı olarak da
yurt dışına aktarılmasına hukuki uygunluk tanınmıştır.
Diğer bir geçiş hükmü ise yargı yoluna ilişkindir. Öyle ki, KVKK tarafından tesis edilen idari
para cezalarından, hali hazırda itiraza konu edilmiş ve 01.06.2024 tarihi itibariyle Sulh Ceza
Hakimliğince incelenmekte olanlar, Sulh Ceza Hakimliğince karara bağlanacaktır.
İlgili belgeye buradan ulaşabilirsiniz.
Bilgilerinize sunulur.
Av. Özge TOĞAY