6698 sayılı Kişisel Verilerin Korunması Kanunu Değişikliği

İçindekiler

  1. Giriş
  2. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)  Değişiklikleri

2.1. KVKK m.6 Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına İlişkin Değişiklikler

2.2. KVKK m.9 Yurt Dışına Aktarıma İlişkin Değişiklikler

2.3. KVKK m.18 Kabahatlere İlişkin Değişiklikler

  1. Değişikliklere İlişkin Özet
  2. KVKK Değişikliği Sonrası Veri Sorumluları Tarafından Yapılması Gerekenler
  3. 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun  Değişikliği Karşılaştırma Tablosu

 

Konu: 6698 sayılı Kişisel Verilerin Korunması Kanununda yapılan değişikliğe ilişkin bilgi notudur.

Bilgi Notu

1.Giriş

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 24 Mart 2016 tarihinde kabul edilmiş, 7 Nisan 2016 tarih ve 29677 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. 

16 Şubat 2024 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanununda bazı değişiklikler yapılmasına yönelik olarak, 8. Yargı Paketinde değişiklik teklifi  sunulmuştur. İlgili değişiklik teklifi, 12.03.2024 tarih ve 32487 sayılı Resmi Gazetede 7499 sayılı Kanun ile yayımlanarak kabul edilmiştir. Değişikliğin yürürlük maddesi uyarınca KVKK’da yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girecektir.  

2.6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)  Değişiklikleri

7499 sayılı Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 6, 9 ve 18, maddelerinde değişikliğe gidilmiştir. 

2.1.KVKK m.6 Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına İlişkin Değişiklikler

Kanunun eski haline göre KVKK m.6 uyarınca; özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Özel nitelikli kişisel verilerin işlenmesinin hukuki sebebi açısından ilgili kanunlarda öngörülen haller için sağlık ve cinsel hayat verileri dışındaki veriler için ise istisna tanınmıştır. Sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği öngörülmüştür. 

  • Yapılan değişiklik ile ise; diğer özel nitelikli kişisel veriler ile sağlık ve cinsel hayat verisi arasında ayrım kalkmıştır. Özel nitelikli kişisel verilerin işleme sebepleri genişletilmiş ve kanunda sınırlı sayıda sayılmıştır. 

2.2.KVKK m.9 Yurt Dışına Aktarıma İlişkin Değişiklikler 

Kanunun eski haline göre KVKK 9. maddesinde kişisel verilerin yurtdışına aktarılması usulü düzenlenmiş ve maddenin mevcut birinci fıkrasına göre kişisel verilerin ilgili kişinin açık rızası ile yurt dışına aktarılabileceği öngörülmüştür. Maddenin ikinci fıkrasına göre ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılabilmesi için KVKK’nın 5. maddesinin ikinci fıkrası ile 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin bulunması ve KVK Kurulu tarafından kişisel verilerin aktarılacağı ülke bakımından yeterli korumanın bulunduğuna karar verilmiş olması (yeterlilik kararı) gerekmektedir. Bununla birlikte hakkında yeterli korumayı sağladığı yönünde karar bulunmayan ülkelere, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılması, veri işleme şartlarından birinin bulunması şartıyla sadece Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izin vermesi durumunda mümkün kılınmıştır. 

Yurt dışına aktarım için öngörülen bu esaslar uygulamada ticari hayatı zorlaştıran bir hale gelmiş ve operasyonel olarak uygulamayı zorlaşmıştır. Bu sebeple;

  • Yapılan değişiklik ile, kişisel verilerin yurtdışına aktarılması için üç farklı yol öngörülmüştür:
  • Yeterlilik kararına dayalı aktarım: Yeterlilik kararı Kurul tarafından Kanun’da sayılan özellikler değerlendirilerek verilecektir. 
  • Uygun güvencelere dayalı aktarım: Aktarım yapılacak ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması halinde ve Kanunda sayılan “uygun güvencelerden” birinin varlığı halinde kişisel veriler veri sorumluları ve veri işleyenler tarafından aktarılabilecektir.
  • Arızi durumlara dayalı aktarım: Yeterlilik kararı ve uygun güvencelerin bulunmaması halinde Kanun’un ilgili fıkrasında sayılan hallerin varlığı halinde ancak aktarılabilecektir.
  • Yurt dışı aktarıma ilişkin usullerin yönetmelik ile düzenleneceği de değişiklik ile öngörülmüştür.
  • Yapılan değişiklikler 1/6/2024 tarihinde yürürlüğe girecektir. Ancak, 6698 sayılı Kanunun kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9 uncu maddesinin mevcut birinci fıkrası, maddenin değiştirilen haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam edecektir.

2.3.KVKK m.18 Kabahatlere İlişkin Değişiklikler

  • Yapılan değişiklik ile, yurt dışına veri aktarımı için uygun güvenceler altında sıralanan standart sözleşmelerin imzalanması halinde veri işleyen veya veri sorumlusu tarafından 5 iş günü içerisinde Kurum’a bildirim yükümlülüğü getirilmiştir. Bildirim yükümlülüğünün yerine getirilmemesi durumunda ise 50.000 TL ile 1.000.000 TL arasında idari para cezası uygulanmasının öngörülmüştür.
  • Kurul tarafından verilen idari para cezalarında sulh ceza hakimliklerine itiraz ve başvuru yerine idare mahkemelerine dava açılması düzenlenmiştir.

3.Değişikliklere İlişkin Özet

KVKK Reform Yasası dokuz temel alanda reform yapmıştır:

a.Özel nitelikli kişisel verilerin işlenme şartları genişletilmiştir. Özetle, aşağıdaki şekilde bir sistem belirlenmiştir:

  • Açık rıza
  • Kanunlarda açıkça öngörülme
  • Fiili imkânsızlık
  • Alenileştirme
  • Bir hakkın tesisi, kullanılması veya korunması için zorunluluk
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar
  • tarafından işlenmesi
  • İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile
  • Sosyal yardım alanındaki hukuki yükümlülükler için işlenmesi
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından işlenmesi

b. Sağlık verilerinin açıkça kanundan kaynaklı sebeplerle ve sosyal yardım alanındaki hukuki yükümlülükler için işlenmesi açık rızanın istisnası olan hukuki sebepler arasına alınmıştır. Bu husus, özellikle işyerinde işlenen veriler açısından önem arz etmektedir.

c.Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumlar için özel nitelikli kişisel verilerin işlenmesinde farklı bir süreç öngörülmüştür.

d. Kişisel verilerin yurtdışına aktarılması için yeni ve alternatifli bir rejim oluşturulmuştur.  

    • Yeterlilik kararına dayalı aktarım: Yeterlilik kararı Kurul tarafından Kanun’da sayılan özellikler değerlendirilerek verilecektir. 
    • Uygun güvencelere  dayalı aktarım: Aktarım yapılacak ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması halinde  ve Kanunda sayılan “uygun güvencelerden” birinin varlığı halinde kişisel veriler veri sorumluları ve veri işleyenler tarafından aktarılabilecektir.
    • Arızi durumlara dayalı aktarım: Yeterlilik kararı ve uygun güvencelerin bulunmaması halinde Kanun’un ilgili fıkrasında sayılan hallerin varlığı halinde ancak aktarılabilecektir.

e. Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları için yurt dışına aktarımda farklı bir süreç öngörülmüştür.

f. Açık rıza, yurt dışına kişisel veri aktarılması için genel bir sebep olmaktan çıkarılarak  istisnai bir durum haline  getirilmiştir. Açık rızaya dayalı aktarımlara ilişkin geçiş süreci öngörülmüştür.(6698 Sayılı Kişisel Verilerin Korunması Kanununda Yapılan Değişiklikler Hakkında Kamuoyu Duyurusu)

g. Kişisel verilerin yurt dışına aktarılmasında veri işleyenlerin de veri sorumluları ile birlikte idari para cezalarından dolayı sorumlu olduğu esası kabul edilmiştir.

h. KVK Kurulu işlemlerinin tamamına karşı tek bir yargı yolu -idari yargı yolu belirlenmiştir. 

ı. Kişisel verilerin yurt dışına aktarılmasına ilişkin (standart sözleşmeleri 5 iş günü içerisinde KVK Kurulu’na bildirmeme) yeni bir kabahat ihdas edilmiştir.

4.KVKK Değişikliği Sonrası Veri Sorumluları Tarafından Yapılması Gerekenler

  • Süreçlerinizde özel nitelikli kişisel veriler (sağlık verileri, ceza mahkumiyeti, kılık kıyafet, dernek, vakıf, sendika vb.) işleniyorsa, hukuki sebepler yeniden değerlendirilmeli, mevcut aydınlatma- açık rıza  metinleri, ve diğer belgeler en geç 01.06.2024’e kadar güncellenmelidir.
  • Sağlık verilerinin işyerinde  işlenmesi ve aydınlatma metinlerinde yer verilmesi hususunda, özellikle iş Sağlığı ve güvenliği ile sosyal güvenlik nedenleri ile ilgili açık rızaya dayanan hususların revize edilmesi ve süreçlerin istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması hukuki sebebine en geç 01.06.2024’e kadar yeniden düzenlenmesi gerekmektedir.
  • Yurtdışına aktarım mevcut ise aktarım süreci tekrar planlanmalı, açık rızanın istisnası olarak belirlenen sebepler değerlendirilmeli ve alternatif yöntemlere ilişkin süreçler tamamlanmalıdır.Bu kapsamda yeni süreçlere dayalı değişikliklerin yapılması ile aydınlatma ve açık rıza metinlerinin güncellenmesi en geç 01.06.2024’e kadar tamamlanmalıdır.
  • Hukuki sebepler ve süreçlerde yapılan değişiklikler nedeniyle kişisel veri işleme envanterlerinde değişiklikler yapılmalıdır.
  • Değişen süreçlere ilişkin VERBİS bildirimlerinde değişiklik yapılmalıdır.
  • Kişisel veri aktarım sözleşmelerinde ve hizmet alan/ verenlerle yapılan diğer sözleşmelerde, değişen hükümler doğrultusunda değişen süreçlere ve yükümlülüklere ilişkin revizeler yapılmalıdır.
  • Yurtdışına aktarımın mevcut olduğu bir veri işleyen-veri sorumlusu ilişkisi mevcut ise standart bir sözleşme yapılması ve Kurum’a bildirilmelidir. 01.06.2024 tarihinden itibaren Kuruma bildirilmeyen standart sözleşmeler için yaptırım uygulanmaya başlanacaktır.
  • Yurtdışına aktarımın mevcut olduğu hallerde KVKK m.9/8 hükmü uyarınca veri işleyenler bakımında da aktarımlar için aynı hükümler ve sorumluluklar geçerli olacaktır. Bu sebeple veri işleyenler bakımından da ilgili geçiş sürecinin yürütülmesi gerekecektir. 
  • Yurt dışı aktarım için, 1. Eylül 2024 tarihine kadar alınan açık rızalar ile aktarıma devam edilebilecektir ancak daha sonrasında veri sorumluları ve veri işleyenler gerekli uyum sürecini tamamlayarak arızi sebeplerin varlığı mevcut ise  ve muhtemel riskler konusunda ilgili kişileri bilgilendirmeleri şartıyla açık rızaya dayanmaya devam edebileceklerdir.  1 Eylül 2024 ‘e kadar geçiş sürecinin tamamlanmaması halinde aktarımlar hukuka uygun olmayacaktır. 

5.6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun Değişikliği Karşılaştırma Tablosu

Yürürlükteki Hali

Değişiklik (01.06.2024 tarihinde yürürlüğe girecektir.)

Özel nitelikli kişisel verilerin işlenme şartları 

Madde 6

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. 

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Özel nitelikli kişisel verilerin işlenme şartları

Madde 6 

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

halinde mümkündür.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

(3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:

a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.

b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.

c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.

ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.

d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.

e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.

(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

c)Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.

b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

ç) Aktarımın üstün bir kamu yararı için zorunlu olması.

d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.

(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

Kabahatler

MADDE 18- (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Kabahatler

MADDE 18-

 (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,

(2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.

.

GEÇİCİ MADDE 3- (1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur.

(2) 1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam olunur.

 

Yazar Hakkında

Sena Çoban

See author's posts