Kişisel Verilerin Korunması Kanunu KVKK Değişiklikleri 2024

12 Mart 2024 tarihli ve 32487 sayılı Resmî Gazete‘de yayımlanan 7499 sayılı “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” ile 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (KVKK) önemli değişiklikler yapılmıştır. Bu değişiklikler, özel nitelikli kişisel verilerin işlenme şartlarını ve kişisel verilerin yurt dışına aktarılmasını kapsamaktadır. Bu sayede, KVKK’nın Avrupa Veri Koruma Tüzüğü (“GDPR”) ile uyumlu hale getirilmesi amaçlanmıştır.

Özel Nitelikli Kişisel Verilerin İşlenmesi

KVKK'nın 6.maddesinde özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Bu yasağın istisnası, sağlık ve cinsel hayat dışındaki kişisel veriler olmak üzere kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilmesidir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmesi iken yeni düzenlemeyle sağlık ve cinsel hayata ilişkin veri ve diğer özel nitelikli kişisel veri ayrımı kaldırılmış ve özel nitelikli kişisel verilerin işlenmesi için öngörülen şartlar genişletilmiştir.

Özel nitelikli kişisel verilerin işlenmesi için kanunda öngörülen şartlar:

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Yurt Dışı Veri Aktarımı:

Yeni düzenleme öncesinde kişisel veriler, ilgili kişinin ancak açık rızası ile yurt dışına aktarılabiliyordu.  Ancak, belirtilen şartlardan birinin varlığı halinde;

-Kişisel veriler, kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması kaydıyla 

-Yeterli korumanın bulunmaması durumunda, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilmekteydi. 

Yeni düzenleme ile veri sorumluları ve veri işleyenler yurtdışına kişisel veri aktarabilmeleri için özel nitelikli kişisel verilerin işlenme şartlarından birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında Kurul tarafından verilen yeterlilik kararının bulunması gerekmektedir. 

Yeterlilik kararının bulunmaması halinde, özel nitelikli kişisel verilerin işlenme şartlarından birinin varlığı ile ilgili kişinin aktarımın yapılacağı ülkede de etkili bir biçimde haklarını kullanma imkanının bulunması ve aşağıdaki güvencelerden birinin temini gerekmektedir: 

- Uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi,

-Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı,

-Kurul tarafından ilan edilen standart sözleşmenin varlığı ve sözleşmenin akdedildiğine ilişkin olarak 5 iş günü içerisinde Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirim şartının sağlanması (Bildirim yapılmaması halinde 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanır),

-Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi 

Bunlara ek olarak, arızi olmak şartıyla veri aktarımları için bazı istisnalar belirlenmiştir. Ancak bu istisnalar, süreklilik arz ettiği taktirde ilgili hüküm uygulanamayacaktır. 

Ayrıca, Kurum tarafından yurt dışı aktarımına ilişkin usul ve esasları içerir ayrı bir yönetmelik düzenleneceği belirtilmiştir. 

Kanun değişiklikleri 1 Haziran 2024 tarihinden itibaren yürürlüğe girecek olup yurt dışına veri aktarım faaliyetlerinin 1 Eylül 2024’e kadar yeni hükümlere uygun hale getirilmesi gerekecektir. 

Sonuç olarak, yapılan değişiklikler ile KVKK’ nın GDPR ile uyumlu hale getirilmesi amaçlanmaktadır. Bu kapsamda, yeni düzenlemeler ile birlikte, aydınlatma metinlerinde ve rıza formlarında değişiklik yapılması gerekecektir.

Pınar Çelik