12 Mart 2024 Salı günü yayınlanan ve 32487 sayılı Resmî Gazete’de ilan edilen değişiklik kanunu ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK” veya “Kanun”) 6., 9. Ve 18. maddelerinde değişiklikler yapılmıştır.

Kanun’da yapılan ilk değişiklik KVKK’nın “özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesine ilişkin olup bu tür verilerin işlenmesi belirli koşullar olmadan yasaklanmış ve işlenmesi için özel koşullar getirilmiştir.

Yapılan değişiklik ile, ilgilinin özel nitelikli kişisel verilerinin işlenmesinde açık rızası aranması şartına ek olarak kanunlarda açıkça öngörülebilirlik, fiili imkansızlık sebebiyle rıza veremeyecek durumda olan kişilerin hayatı veya beden bütünlüğünün korunması, alenileştirilen kişisel verinin alenileştirme iradesi ile uyuşması, bir hakkın kurulması, kullanılması veya korunması için zorunlu olması, kamu sağlığının korunması ve sağlık hizmetlerinin kolaylaşması amacıyla gerekli olması, sosyal yardım ve güvenlik alanlarındaki hukuki yükümlülükler için zorunlu olması, kâr amacı gütmeyen kuruluş ve oluşumların mevzuat ve amaçlarına uygun olmak ve üçüncü kişilere açıklanmamak koşuluyla sürekli temasta olan kişilere yönelik olması şartları getirilmiştir.

Bu çerçevede, özel nitelikli kişisel verilerin işlenme şartlarında ilgilinin açık rızasının yanı sıra farklı durumlar da sınırlı sayı ilkesi doğrultusunda eklenerek özel nitelikli kişisel verilerin işlenmesi prosedürü belirli bir çerçeve içerisinde esnetilmiştir.

Kanun’da yapılan bir diğer değişiklik ise Kişisel verilerin yurt dışına aktarılması başlıklı 9. maddeye ilişkin olup yurt dışına kişisel veri aktarımına ilişkin yeni şartlar getirilmiştir.

Yapılan değişiklik ile ilgilinin açık rızası veya aktarılacak ülkenin yeterli koruma sağladığına dair KVK Kurulu’nun (“Kurul”) yazılı kararı olmadan gerçekleşemeyen bu aktarım, işbu değişiklik akabinde yeterlilik kararı alınması ile veri sorumluları tarafından kişisel veriler yurt dışına aktarabilecektir. Yeterlilik kararını Kurul verecek ve belirli aralıklarla değerlendirecektir. Yeterlilik kararı verilirken aktarma yapılacak ülke veya kuruluşun Türkiye ile ilişkileri, uluslararası sözleşmelere üyelik durumu, veri koruma politikaları göz önünde bulundurulacaktır. Yeterlilik kararı alınamadığı durumda belirli koşulların sağlanması ile uygun güvencelerin bulunduğu takdirde aktarım gerçekleşebilecektir.

Bu değişiklik ile Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumlu olarak kişisel verilerin yurt dışına aktarılması amaçlanmıştır.

Kanun’da yapılan diğer bir değişiklik ise Kabahatler başlıklı 18. maddeye ilişkin olup yeni bir idari para cezası eklenmiş ve idari para cezası hakkında açılacak davaların idare yargı mercilerince görüleceği düzenlenmiştir.

Detaylı bilgi ve destek için;  [email protected]/ +902123259020