8. Yargı Paketi Kapsamında 6698 Sayılı Kişisel Verilerin Korunması Kanunu'ndaki Değişiklik Teklifleri Hakkında Hukuki Bilgilendirme

06.03.2024

I. Giriş
II. Kişisel Verilerin Korunması Kanunu Neden Değişiyor?
III. Kişisel Verilerin Korunması Kanunu Hangi Maddeleri Değişti?
Madde 6 – Özel Nitelikli Kişisel Verilerin İşlenme Şartları
Madde 9 – Kişisel Verilerin Yurt Dışına Aktarımı
Madde 18 – Kabahatler
Eklenecek Madde – Geçici Madde 3
IV. Değişiklik Talep Edilen Ancak Kabul Olmayan Düzenlemeler Nelerdi?

Bu makalede Hande Çağla Yılmaz ortak yazar olarak yer almıştır.

I. Giriş

Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (“Kanun Teklifi” veya “Yargı Paketi”), 16 Şubat 2024 tarihinde Türkiye Büyük Millet Meclisi Başkanlığına sunulmuştur. Yargı Paketi’nin 33, 34, 35 ve 36. maddeleri uyarınca 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) değişiklik öngörülerek 2016/679 Sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) daha uyumlu bir kanun amaçlanmış olup 21 Şubat 2024 tarihi itibarıyla Kanun Teklifi herhangi bir değişiklik yapılmaksızın kabul edilmiştir.

II. Kişisel Verilerin Korunması Kanunu Neden Değişiyor?

KVKK, 1995 Tarihli 95/46/AT sayılı Avrupa Parlamentosu ve Konsey Direktifi (“Direktif”) esas alınarak hazırlanmış ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Ancak Direktif, KVKK’nın yürürlüğe girmesinden yalnızca iki sene sonra yürürlükten kaldırılmış, 28 Mayıs 2018 tarihinde Avrupa Birliği’nde GDPR yürürlüğe girmiştir. GDPR’ın Direktif’e göre daha kapsayıcı olması sebebiyle KVKK hükümleri veri koruma mevzuatı bakımından yetersiz kalmaya başlamıştır. Bu sebeple; KVKK’nın düzenlemelerini kademeli bir şekilde GDPR’a yakınlaştırmak amacıyla işbu değişiklik öngörülmüştür.

III. Kişisel Verilerin Korunması Kanunu Hangi Maddeleri Değişti?

Madde 6 – Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Mevcut KVKK'nın 6. maddesinin 3. fıkrası yürürlükten kaldırılarak, eski sistemde olduğu gibi sağlık ve cinsel hayata ilişkin kişisel veriler ile diğer özel nitelikli kişisel veriler arasındaki ayrım ortadan kaldırılmıştır. Böylelikle, KVKK kapsamında tüm özel nitelikli kişisel verilerin işlenmesi aynı kişisel veri işleme şartlarına tabi tutulmuştur. Mevcut KVKK'nın 6. maddesinin 2. fıkrası değiştirilerek, özel nitelikli kişisel veri işleme sistematiği değiştirilmiş ve özel nitelikli kişisel verilerin işlenmesi yasaklanmıştır. Bir başka deyişle, bundan böyle özel nitelikli kişisel verilerin işlenme şartlarından değil, işlenebileceği istisnai durumlardan bahsedilebilecektir. Bu yasağın istisnaları KVKK’nın yeni 2'nci fıkrasında düzenlenmiştir.

Kabul edilen Yargı Paketi kapsamında, özel nitelikli kişisel veri işleme istisnaları aşağıdaki gibidir:

İlgili kişinin açık rızasının olması,
Kanunlarda açıkça ögörülmesi,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
İlgili kişinini alenileştirdiği kişisel verilerine ilişkin ve alenileştirme iradesine uygun olması,
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanların hukuki yükümlülüklerini yerine getirmesi için zorunlu olması,
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Madde 9 – Kişisel Verilerin Yurt Dışına Aktarımı

Mevcut KVKK'nın 9. maddesi tamamen değiştirilerek yurt dışına kişisel veri aktarımı için benimsenen güvenli ülke listesi – taahhütname - açık rıza sistematiği terk edilmiş ve yeterlilik kararı – uygun güvenceler – arızi haller sistematiği benimsenmiştir. Mevcut KVKK’da madde 9’da yer alan “yeterli koruma bulunan ülke” ifadesi ise “yeterlilik kararı” olarak değiştirilmiş ve işbu kararın Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından her dört senede bir tekrardan değerlendirileceği düzenlenmiştir. Tüm bunlara ek olarak yeni KVKK madde 9 düzenlemesi uyarınca yurt dışına veri aktarımı için aşağıdaki yöntemler belirlenmiştir:

1. Yeterlilik Kararı: KVKK’nın 5. ve 6. maddesindeki şartlar sağlanmak kaydıyla aktarım gerçekleşecek ülke, uluslararası kuruluş veya ülke içerisindeki sektör hakkında Kişisel Verileri Koruma Kurulu tarafından Yeterlilik Kararı verilmiş olması,

2. Yeterlilik Kararının Bulunmaması Halinde: KVKK’nın 5. ve 6. maddesindeki şartlar sağlanmak kaydıyla aktarım gerçekleşecek ülkede ilgili kişilerin haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması şartıyla aşağıdaki yöntemler ile kişisel veriler yurt dışına aktarılabilir:

a) Uluslararası Sözleşme Niteliğinde Olmayan Sözleşmeler (Yurt Dışı ve Türkiye’deki kamu kurum, kuruluş, meslek kuruluşları ve uluslararası kuruluşlar arasında imzalanacak olan)

b) Bağlayıcı Şirket Kuralları (Ortak ekonomik faaliyet içerisinde olan grup şirketlerin uymakla yükümlü oldukları)

c) Standart Sözleşme (Kurul tarafından ilan edilecek hususları içeren)

d) Taahhütname (Yeterli koruma sağlayacak hükümler yer alan ve Kurul tarafından onaylanan)

3. Yukarıdaki Şartların Sağlanamaması Halinde: Arizi (geçici) olmak kaydıyla aşağıdaki durumlar kapsamında kişisel veriler yurt dışına aktarılabilecektir:

a) İlgili kişinin muhtemel riskler hakkında aydınlatılması kaydıyla aktarıma açık rızasının olması,

b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi ile alınacak sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,

c) Aktarımın üstün bir kamu yararı için gerekli olması,

d) Bir hakkında tesisi, kullanılması veya korunması için aktarımın zorunlu olması,

e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, mevzuat kapsamında sicile erişim için gerekli şartların sağlanması kaydıyla kişinin talebi üzerine aktarım yapılması.

KVKK’nın yeni 9. maddesinin son fıkrasında; usul ve esasların yönetmelik ile düzenleneceği belirtilerek yurt dışına kişisel veri aktarımına ilişkin bir yönetmeliğin yayımlanacağı anlaşılmaktadır. Ayrıca; ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda ancak ilgili kamu kurum/kuruluşunun izni alınarak Kişisel Verilerin Korunması Kurulu izni ile aktarım gerçekleşebileceği düzenlenmiştir.

Madde 18 – Kabahatler

Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezalarına karşı itiraz yolu olarak İdare Mahkemeleri öngörülmüştür. Yurt dışına veri aktarımı için işbu yargı paketinde öngörülen yeni yollardan biri olan standart sözleşme hükümleri için Kurul’a 5 gün içerisinde bildirimde bulunmayanlar (hem veri sorumlusu hem veri işleyen bakımından) hakkında 50.000 TL – 1.000.000 TL arasında idari para cezası öngörüleceği ifade edilmiştir.

Eklenecek Madde – Geçici Madde 3

Yurt dışına veri aktarımına ilişkin olarak yeni düzenlemeye adaptasyon için 1 Eylül 2024’e kadar süre tanınarak halihazırdaki KVKK’nın 9. maddesinin bu tarihe kadar yürürlükte kalması öngörülmüştür. İşbu yargı paketi ile KVKK m. 18’de her ne kadar Kişisel Verileri Koruma Kurulu kararlarına itiraz için İdare Mahkemeleri yetkili mahkeme olarak belirlenmişse de 1 Haziran 2024 tarihinde halen Sulh Ceza Hakimliğinde görülmekte olan dosyalar bakımından dosyaların işbu hakimliklerde görülmeye devam etmesi öngörülmüştür.

IV. Değişiklik Talep Edilen Ancak Kabul Olmayan Düzenlemeler Nelerdi?

KVKK’nın 28. maddesinde işbu kanunun uygulanmayacağı haller düzelenmiştir. Yargı Paketi görüşmeleri devam ederken ise 28/1-d maddesindeki “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.” İfadesine “mesleki faaliyetleri kapsamında avukatlar” ifadesinin eklenmesi teklif edilmişse de kabul edilmemiştir. Buna ek olarak, Kanun Teklifi’nde yer alan 6/3-e (Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması) ve 6/3-g (Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması) maddelerinin çıkarılması teklifi reddedilmiştir.

This website is available “as is.” Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

SPK’dan e-Başvuru Zorunluluğu

CMB Deploys Electronic System for Submissions

Sermaye Piyasası Kurulu Tarafından Payların İlk Halka Arzı Öncesi Uyulacak Ön Şartlardaki Tutarların İndirimine İlişkin Kurul İlke Kararı Yayımlandı

Recent Changes Regarding the Determination of Companies Subject to Independent Auditing

Call Option Agreement on Shares of a Joint Stock Company

Bağımsız Denetime Tabi Şirketlerin Belirlenmesine Dair Karar

The Constitutional Court Decision on Legal Professional Privilege

Two-minute Recap of Recent Developments in Turkish Competition Law - March 2024

Two-minute Recap of Competition Law Matters Around the Globe – March 2024

Türkiye’s Green Transition Journey and Effects on Construction Sector

“Reasonable” Remedy Period

An Overview of FIDIC 2022 Reprint

Veri Koruması İçin Yöntemler: Anonimleştirme ve Psödönimleştirme Hakkında Bir İnceleme

Safeguarding Data: A Review of Anonymization and Pseudonymization

ÇSY Kapsamında Kişisel Verilerin Korunması Hukukunun Önemi

Anayasa Mahkemesi’nden 6325 Sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu’nun Bazı Hükümlerinin İptaline İlişkin Yeni Karar

New Decision by the Constitutional Court on the Annulment of Certain Provisions of the Mediation in Civil Disputes Law No. 6325

Esin Litigation Quarterly | Issue 4 | March 2024

2024 Yılı İtibarıyla Perakende Ticaret Mevzuatında Neler Değişti?

Sadakat Programlarına İndirimli Satış Reklamı Yasağı!

Obligations under the Distance Contracts Regulation are Postponed

Kamu İhale Sözleşmelerinde Düşük Karbon Emisyonuna Sahip Yeşil Çimento Kullanımının Yaygınlaştırılmasına İlişkin Tebliğ Yayımlandı

Communiqué on the Promotion of the Use of Green Cement with Low Carbon Emission in Public Procurement Contracts has been Published

Şarj Hizmeti Ağlarında Konsolidasyon: Lisans İptalleri

Kurumsal Sürdürülebilirlik Özen Yükümlülüğü Direktifi (CSDDD) Onaylandı

Corporate Sustainability Due Diligence Directive (CSDDD) Approved

Yeşil Dönüşüm Yolunda: Çevre Etiketi Sistemi

Ödeme ve Elektronik Para Kuruluşlarının Asgari Özkaynak Miktarlarında Değişiklikler

Amendments Regarding Minimum Equity Amounts for Payment and Electronic Money Institutions

Dijital Türk Lirası’nda Faz-2 Çalışmalarına Başlandı

Technology Disruption in the Insurance Industry

Cyber Insurance

İklim Değişikliğinin Sigorta Sektörü Üzerindeki Etkisi

Türkiye's Geopolitical and Strategic Importance Regarding Counterfeiting Activities

Design Registration Application in Turkey: Things to Consider

Turkish PTO Will Handle Non-Use Cancellation Actions as of January 10, 2024

İşçinin Ölümü Halinde Kıdem Tazminatı ve Ölüm Tazminatı Taleplerinin Karşılaştırmalı Olarak Değerlendirilmesi

Non-competition Obligation - Intervention of the Judge

İş Sözleşmelerinde Rekabet Etme Yasağı

Türkiye İlaç ve Tıbbi Cihaz Kurumu Tıbbi Cihaz Sektör Belgesi Yayınlandı

Turkish Medicines and Medical Devices Agency Published the Industry Report on Medical Devices

Spor Müsabakalarına Dayalı Bahis ve Şans Oyunları

Remarkable Topics of Recent Times: Betting and Games of Chance on Sports Competitions

Advertising Board Published the Report on Supplementary Food Advertisements!

Convertible Investments in Türkiye

Türkiye’de Pay Opsiyon Planları ve Birleşme Devralmalara Etkileri

Employee Stock Option Plans and Effects on M&A Practices in Türkiye

Yayımlanan Yönetmelik ile Konutların Turizm Amaçlı Kiralanması

Konutların Turizm Amaçlı Kiralanması

Konut Kira Bedeli Artışlarında Azami Sınır

Anonim Şirketlerde Önemli Miktardaki Varlığın Satışı ve İlgili Tartışmalı Konular

Sale of Significant Assets in Joint Stock Companies and Related Contentious Issues

Adi Konkordatoda Alacaklılar Toplantısı

Türkiye’de Çalışan Pay Opsiyon Planları ve Yatırım Sürecindeki Etkileri

Yatırım ve Pay Devri İşlemlerinde Ara Dönem ve Kapanış Şartları

What is Convertible Debt as a Method of Quick Access to Finance?

Damga Vergisi Kanun Genel Tebliği (Seri No: 69) Hakkında Bilgi Notu

Information Note Regarding the General Communiqué on the Stamp Duty Law (Serial No: 69)

Anayasa Mahkemesi’nden Enflasyon Düzeltmesine İlişkin Önemli Karar

The AI Act: The World's First Comprehensive Laws to Regulate AI

AB’den Devrim Niteliğinde Düzenleme: Yapay Zekâ Yasası Onaylandı

Revolutionary Regulation from EU: AI Act is Approved

Regulation on Preventing Collision at Sea

Türkiye’de Deniz Kirliliği Cezalarına İlişkin Yeni Düzenleme

Current Pollution Administrative Fines

Şirket Yöneticilerinin Cezai Sorumluluğu

An Overview of Occupational Fraud 2024: A Report to the Nations by ACFE

Güneş Balçıkla Sıvanmaz!