Loader
 • 2024 March 20
 • 9 dakika okuma süresi
 • Dinle

Uzun Süredir Beklenen KVKK Değişiklikleri Yayınlandı

6698 sayılı Kişisel Verilerin Korunması Kanunu [“Kanun” veya “KVKK”] hakkında uzun süredir yapılması beklenen değişiklik 8. Yargı Paketi kapsamında Türkiye Büyük Millet Meclisi Genel Kurulu tarafından kabul edilerek yasalaşmasının ardından 12 Mart 2024 tarihli Resmi Gazete’de yayınlandı.

Kanun ilk aşamada 1995 tarihli 95/46/AT sayılı Avrupa Parlamentosu ve Konsey Direktifi [“Direktif”] esas alınarak hazırlanmış, ancak Kanun’un yürürlüğe girmesinden iki sene sonra Direktif yürürlükten kaldırılarak 25 Mayıs 2018 tarihinde yürürlüğe giren 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation) [“GDPR”] kabul edilmişti. Kanun’da yapılan son değişiklikler ile GDPR ile uyum sağlanmaya çalışılmış; özel nitelikteki kişisel verilerin işlenmesi ile kişisel verilerin yurt dışına aktarılması konularında önemli düzenlemeler getirilmiştir.

Kişisel verilerin yurt dışına aktarımında açık rızaya dayanan sistem yerini daha kolay ve uygulanabilir mekanizmalara bırakırken; özel nitelikteki kişisel verilerin işlenmesi açısından yeni hukuka uygunluk nedenlerinin öngörülmesi Türkiye’de yatırım yapmak isteyen ve yapan yabancı şirketler için kişisel verilerin korunması mevzuatı kapsamında daha ılımlı bir ortam sunacak. Değişikliklerin kapsamı şu şekilde:

Özel Nitelikli Kişisel Verilerin İşlenmesi (Madde 6)

Değişiklikler ile, açık rızanın dışında, özel nitelikli kişisel verilerin işlenmesine ilişkin KVKK Madde 5/2 kapsamında zaten var olan sebeplere ek olarak yeni şartlar ve hukuka uygunluk sebepleri getiriliyor. Ayrıca yeni düzende, sağlık ve cinsel yaşamla ilgili kişisel veriler üzerindeki ayrım kaldırılarak, bu verilerin işlenme koşulları tek bir çatı altında birleştiriliyor. Bu kapsamda, özel nitelikteki kişisel verilerin işlenmesi açık rızanın dışında aşağıdaki durumlar halinde mümkün olacak:

 1. Fiili rızanın alınmasının imkânsız olması veya kendi yahut başkasının hayatı ya da beden bütünlüğü açısından önem arz eden bir durum olması.
 2. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması.
 3. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması.
 4. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
 5. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması.
 6. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
 7. Kanunlarda açıkça öngörülen diğer sebepler.

Kanun’un değişiklikten önceki metninde özel nitelikte kişisel verilerin işlenmesinde kişilerin işe giriş evrakında vermiş oldukları adli sicil kayıtlarını, çalışmaya elverişliliğe ilişkin sağlık raporlarını dışarıda bırakan ifadesi bu değişiklikle terk edilmiş oldu. Ayrıca, ilgili kişinin bir hak sahibi olması veya mevcut bir hakkından faydalanması için yapılacak veri işlemeleri de açık rıza istisnasının kapsamına alınmış oldu. Bu iki açık değişiklik maddede diğer değişikliklerle birlikte okunduğunda özel nitelikte kişisel veri işlemeye ilişkin pratik gerekliliklerin gözetildiği ve bundan dolayı bu tür verilerin işlemesinin önünün maddede sınırlı hallerle de olsa genişletildiği söylenebilir.

Kişisel Verilerin Yurtdışına Aktarılması (Madde 9)

Kişisel verilerin yurtdışına aktarılma yöntemi de 8. Yargı Paketi çerçevesinde yapılan değişiklik çerçevesinde önemli ölçüde değiştiriliyor. Güvenli ülke listesi, taahhütname ve açık rıza esasına dayanan önceki sistem yerine uygunluk kararları, uygun güvenceler ve arızi durumlar için kanunda öngörülen istisnalar esasına dayanan yeni bir sistem getirilerek kişisel verilerin yurtdışına aktarılması çevresindeki belirsizliklerin giderilmesi ve aktarımın kolaylaştırılması hedefleniyor.

Kişisel verilerin yurt dışına aktarılması için oluşturulan mekanizmaların başında uygunluk kararları geliyor. Kişisel Verileri Koruma Kurulu ["Kurul”], uygunluk kararlarını, ülkeler, uluslararası organizasyonlar veya bir ülke içindeki sektörler hakkında verecek ve bu kararlar en az her dört yılda bir yeniden değerlendirilecek. Böylece uygunluk kararının bulunması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecek.

Uygunluk kararı bulunmaması durumunda ise, veri işleme şartlarının birisinin varlığına bağlı olarak ilgili kişinin aktarım yapılan ülkede kanun yollarına başvurma imkanına sahip olması şartıyla belirli güvencelerin sağlanması şartıyla kişisel veriler yine de yurtdışına aktarılabilecek. Bu güvenceler, yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve kurulun onay, yeterli korumanın sağlanacağına ilişkin taahhütname, Kurul tarafından onaylanacak bağlayıcı şirket kuralları veya Kurul tarafından onaylanan standart sözleşmeler gibi çeşitli yöntemlerden oluşuyor.

Bu ihtimallerin dışında, uygunluk kararı veya kanunda belirtilen uygun güvenceler olmaksızın kişisel veri aktarımı da belli durumlarda geçici bir hal olması şartıyla mümkün hale getiriliyor. Bu durumlara örnek olarak yeni kanun sistematiğinde aşağıdaki sınırlı sayıda örneği geçici olması şartıyla yurt dışına veri aktarımı için geçerli sebep olarak kabul ediliyor:

 1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
 2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
 3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
 4. Aktarımın üstün bir kamu yararı için zorunlu olması.
 5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
 6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
 7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Uyumluluk ve Zamanında Bildirim (Madde 18)

Değişiklik çerçevesinde, kişisel verilerin uluslararası aktarımı için standart sözleşme yönteminin benimsenmesi halinde Kurulu beş gün içinde bilgilendirmeyen veri sorumluları ve veri işleyicileri için 50.000 TL'den 1.000.000 TL'ye kadar cezalar öngörülüyor.

Öte yandan, değişiklik teklifinin kanunlaşmasını takiben Kurul tarafından verilen idari para cezalarına karşı Sulh Ceza Mahkemelerinde dava açılmasına yönelik düzenleme terk edilecek ve bu davalarda İdare Mahkemeleri görevli olacak.

Geçiş Süreci ve Yürürlük

Kişisel verilerin uluslararası aktarımına ilişkin mevcut veri aktarımı şartları 1 Eylül 2024 tarihine kadar yürürlükte kalacak. Ayrıca Kurul tarafından verilen idari para cezalarına karşı halihazırda sulh ceza mahkemelerinde görülmekte olan başvurular 1 Haziran 2024 tarihine kadar bu mahkemelerce görülmeye devam edilecek. Diğer tüm değişiklikler ise 1 Haziran 2024 tarihinde yürürlüğe girecek.

Sonuç

Kanun’da yapılan değişiklikler ile birlikte, Türkiye'de kişisel verilerin korunması alanında yeni bir yeni bir dönemin açılacağı söylenebilir. Bu yeni dönem her ne kadar özellikle de kişisel verilerin yurtdışına aktarımı konusunda veri sorumlularının elini rahatlatacak olsa da, veri sorumluları ve işleyicileri için yeni bir uyum sürecini de beraberinde getirecektir.

Değişikliklerin hayata geçirilmesi ve uyum sürecinin sağlanmasını takip eden dönemde GDPR ile eş güdümün sağlanacak olması, hem veri koruma otoritesi konumundaki Kişisel Verileri Koruma Kurumu’nun hareket kabiliyetini geliştirerek Kanun’un uygulanabilirliğini artıracak, hem de çok uluslu şirketler bakımından hukuki öngörülebilirliği güvence altına alacaktır.