KVKK Reformu – 6698 Sayılı Kanun’da Yapılan Önemli Değişiklikler

Kanundaki Mevcut Düzenleme

MADDE 9

1. Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

2. Kişisel veriler, 5. maddenin ikinci fıkrası ile 6. maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
   a) Yeterli korumanın bulunması,
   b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

3. Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

4. Kurul, yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
   a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
   b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
   c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
   ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
   d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirerek ve ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

5. Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

6. Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

9. Maddenin Yeni Hali

MADDE 9

1. Kişisel veriler, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

2. Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

3. Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:
   a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
   b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
   c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
   ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
   d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
   e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.

4. Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
   a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
   b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
   c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
   ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

5. Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

6. Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
   a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
   b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
   c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
   ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
   d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
   e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
   f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Yeni Düzenleme İle Benimsenen Kademeli Sistem

  Yeterlilik Kararı:

• Eski düzenlemede yeterli koruma sağlayan ülkelerin listesi Kurul tarafından belirleniyordu.
• Yeni düzenlemede Kurul tarafından verilen yeterlilik kararının şümulü genişletilerek ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar olarak değiştirilmiştir.
• Yeterlilik kararının en geç dört yılda bir değerlendirilmesine ilişkin düzenleme getirilmiştir.

  Uygun Güvenceler:

• Eski düzenlemede yeterli koruma sağlamayan ülkelere veri aktarımı için Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekliyken,
• Yeni düzenlemede yeterlilik kararı bulunmaması halinde sayılan ön koşulların (5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla,) varlığı halinde maddede belirtilen uygun güvencelerden birinin taraflarca sağlanması şartı getirilmiştir. Bu güvenceler:
  • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
  • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
  • Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
  • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

  Arızi Aktarım :

• • • Yeni düzenlemede önceki kanunda yer almayan arızi aktarım yöntemi açıklanmıştır. Yeterlilik kararı olmayan ve uygun güvencelerden birisinin de sağlanamadığı hallerde madde metninde tahdidi olarak sayılan hallerden birinin varlığı halinde yurt dışına aktarım mümkün kılınmıştır.
    • Muhtemel riskler hakkında bilgilendirilme şartı eklenerek daha kapsamlı bir rıza anlayışı benimsenmiştir. Bu anlayış daha önceki düzenleme sistematiğinde yer alan açık rıza anlayışına da yenilik getirdiğinden GDPR ile uyumluluk bakımından önemli bir güncellemedir.

Diğer Yenilikler

Artırılmış Güvenceler : Yeterli koruma sağlamayan ülkelere veri aktarımında veri sahiplerinin haklarını korumak için uygun güvenceler seçeneği eklenmiştir.

Kuruluşların İstisnası : 6. fıkranın (a), (b) ve (c) bentlerinin kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmayacağı açıkça belirtilmiştir. Kamu kurum ve kuruluşlarının faaliyetlerinin özel bir istisna kapsamına alınmasıyla kamu görevinin etkin bir şekilde yerine getirilmesi amaçlanmıştır. 

Yeni madde 9/5 uyarınca standart sözleşmelerin, imzalanmasından itibaren 5 iş günü içinde veri sorumlusu veya veri işleyen tarafından Kurul’a bildirilmesi yükümlülüğü getirilmiştir.

Kurul’a kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları yönetmelikle düzenleme yetkisi tanınmıştır.