Kişisel Verilerin Korunması Kanunu ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

2024 Şubat ayında Kurul tarafından iki adet veri ihlal bildirimi ile birlikte “Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu” yayımlanmıştır. Bu ayki Bültenimizde ek olarak 8. Yargı Paketi ile öngörülen “Kişisel Verilerin Korunması Kanunu’nda Teklif Edilen Değişiklikler”e yer verilmiştir.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2024 Şubat ayında Kişisel Verileri Koruma Kurumu internet sitesi olan kvkk.gov.tr alan adlı sitede iki adet veri ihlal bildirimi yayımlanmıştır

Karel İletişim Hizmetleri A.Ş.

Veri sorumlusu sıfatını haiz Karel İletişim Hizmetleri A.Ş. tarafından Kurula iletilen veri ihlal bildiriminde özetle;

Veri sorumlusunun 03.02.2024 tarihinde fidye yazılım saldırısına maruz kaldığı, ihlal sonucunda veri sorumlusunun kullandığı muhasebe yazılımının veri tabanı, firma/abone ismi ve borç/alacak bakiyesi ile veri sorumlusunun finansal bilgilerini içeren bazı dokümanların saldırgan tarafından şifrelenerek ele geçirildiği bildirilmiştir. Veri ihlalinden etkilenen kişi gruplarının aboneler/üyeler, müşteriler ve potansiyel müşteriler olduğu ve tahmini 1254 kişiye ait veri kategorilerinin kimlik ve iletişim olduğu ifade edilmiştir.

Public Library of Science


Veri sorumlusu sıfatını haiz olan Public Library of Science (“PLOS”) tarafından Kurul’a iletilen veri ihlal bildiriminde özetle; Açık içerik lisansı altında bilim, teknoloji, tıp ve diğer bilimsel literatürdeki açık erişimli dergileri ve araştırmaları yayımlayan PLOS bünyesinde yayımlanması
için Ankara Şehir Hastanesi Enfeksiyon Hastalıkları ve Klinik Mikrobiyoloji bölümünden bir yazarın ilgili yayıncı kuruluşa makale gönderdiği, gönderilen makalede yazarın kişisel verilerin anonimleştirilmiş versiyonunu sunmayı amaçladığı fakat makale dosyasının araştırma çalışmasında yer alan kişilere ait verilerin anonimleştirme yapılmadan çevrimiçi olarak internette açıkça yayımlandığının tespit edildiği bildirilmiştir.


Söz konusu veri ihlalinin 31.01.2024 tarihinde gerçekleştiği ve 15.02.2024 tarihinde tespit edildiği, ihlalden etkilenen 893 kişinin tıbbi araştırma çalışmasının bir parçası olduğu ifade edilmiştir. İlgili ihlal neticesinde ‘isim, yaş, cinsiyet’ verileri ile özel nitelikli kişisel veri kategorisinde yer alan ‘tedavi yeri, tıbbi bilgileri, reçete edilen ilaçlar, alınan tıbbi prosedürler’ verilerinin etkilendiği bilgilerine yer verilmiştir.

Bilgi Notu

Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu

I. Türk Hukuku Kapsamında Değerlendirme

2010 yılında gerçekleştirilen Türkiye Cumhuriyeti Anayasası (“Anayasa”) değişikliğiyle kişisel verilerin korunmasına temel hak niteliği kazandırılmıştır. Diğer taraftan, Anayasa’nın 13. maddesi “Temel hak ve hürriyetler, özlerine dokunulmaksızın yalnızca Anayasa’nın ilgili maddelerinde belirtilen sebeplere bağlı olarak ve ancak kanunla sınırlanabilir…” hükmünü amirdir. Bu doğrultuda, kişisel verilere ilişkin koruma mutlak değildir; diğer hak ve özgürlüklerde olduğu gibi Anayasa’da belirlenen kurallara uygun olarak ve kanun ile sınırlandırılabilecektir.

Mezkûr hükmün lafzından temel hak ve hürriyetlerin tüzük, yönetmelik, kanun hükmünde kararnameler gibi araçlarla düzenlenmesinin ya da sınırlandırılmasının mümkün olmadığı anlaşılmaktadır. Kimi yazarlar her düzenlemenin sınırlama anlamına gelmediğini savunur iken, kimileri her düzenlemenin aynı zamanda özgürlüklerin korunması sorununu da meydana getirdiğini, bu sebeple özdeş kavramlar olduğunu belirtmektedir.

Kurum, temel hakkı güçlendirici, onun daha etkin kullanılmasını sağlayan düzenlemeleri sınırlama olarak kabul etmeyip pozitif hukuk açısından ilk görüşün yerinde olduğunu belirtmektedir.

Aynı şekilde, “kanunla sınırlama” hükmünün anlamı da “ancak” sözcüğü ile ve “Anayasa’nın sözüne ve ruhuna uygun sınırlama” hükmüyle bir arada ele alındığında kendini gösterecektir. Sınırlamanın “ancak” kanunla yapılabilmesi idarenin düzenleyici işlemiyle doğrudan bir temel hak sınırlaması yapılamayacağını belirtmektedir. Ancak bundan idarenin temel hak alanında hiçbir surette düzenleme yapamayacağı anlamı çıkarılamaz. Dolayısıyla, idare kendiliğinden bir temel hak sınırlaması yapamayacak, başka bir deyişle ancak belli bir kanunun Anayasa’nın sözüne ve ruhuna uygun olarak zaten getirmiş olduğu sınırlama dışında yeni bir sınırlama yaratamayacaktır. Bu gibi idari işlemlerle yapılan sınırlandırmalar Anayasa Mahkemesi (“AYM”) tarafından iptal edilmiştir. Örneğin AYM’nin E. 2013/122, K. 2014/74 sayılı kararı ile, Bilgi Teknolojileri ve İletişim Kurumu’na düzenleme yetkisi tanıyan düzenleme, yasama yetkisinin devredilmezliği ilkesi gereğince iptal edilmiştir.

Buna karşılık, idare kanuni sınırlamayı somutlaştıran düzenlemeler yapabilecektir. Nitekim, alt düzenlemeler ilgili bir kanun maddesinden kaynaklanmaktadır. Bu anlamda idare tarafından tesis edilen uygun yürürlüğe konulmuş düzenleyici işlemler iptal edilmediği sürece idari teşkilat içerisinde bağlayıcı niteliği haizdir ve uygulanması gerekir.

Öte yandan, bazı durumlarda idarenin takdir yetkisi mevcuttur. Bir konuda idarenin takdir yetkisinden söz edebilmek için idareye verilen yetkinin nasıl kullanılacağının mevzuatta açıkça gösterilmemiş olması, bir eylem ya da işlemin yapılmasında kanunen geçerli birden fazla yolun bulunması ve idarenin bu yollardan dilediği birini seçebilmesi gerekmektedir.

Kanun’un 5. maddesinin yorumlanması açısında da kesin kıstaslar öngörülmemiş olup hukuki yükümlülüğün yerine getirilmesi veya kanunlarda açıkça öngörülmesi hususları değerlendirilirken dar veya geniş yorum yapılması idarenin takdir yetkisi kapsamındadır.

Örneğin, 6458 sayılı Yabancılar ve Uluslararası Koruma Kanunu madde 121 ile ilgili kanunun uygulanmasına ilişkin usul ve esasların yönetmelikle belirleneceği düzenlenmiştir. 6458 sayılı Kanun’un Uygulanmasına İlişkin Yönetmelik hükmü uyarınca ise, 6458 sayılı Kanun’da parmak izi verisinin işlenmesi hususu belirlenmemiş olmasına rağmen ilgili veri tipinin işlenmesinde “kanunlarda açıkça öngörülmesi” işleme şartına dayanılabilecektir.

Kanun’un kişisel verilerin işlenme şartlarını düzenleyen 5. maddesi uyarınca kişisel verilerin açık rıza ile işlenmesi şartına istisnalar getirilmiştir ve ilgili istisnalardan biri de ‘kanunlarda açıkça öngörülmesi’ şartıdır. Küzeci ‘açık’ ibaresinin olması sebebiyle kanunlarda açık düzenleme olması halinde kişisel verilerin işlenebileceği, aksi halde kanunla verilmiş genel yetkinin kişisel verilerin işlenme şartları kapsamında sayılmayacağı görüşündedir. Kurum ise, bu durumda sadece lafzi yorum yapmanın Kanun’un ruhuna aykırı olacağı ve lafzi yorum yapılması halinde söz konusu işleme şartının çok sınırlı hallerde uygulanabileceği yönünde bir belirtmede bulunmuştur.

II. AB Hukuku Kapsamında Değerlendirme

Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (General Data Protection Regulation, “GDPR”), Türk hukuku mevzuatından farklı olarak “kanunlarda açıkça öngörülme” ve “hukuki yükümlülüğünün yerine getirilmesi” hükümleri birbirinden ayrı düzenlenmemiştir.

İrlanda Veri Koruma Otoritesi tarafından yayımlanan “Kişisel Verilerin İşlenmesinin Hukuki Mesneti Rehber Notu” çalışmasında, veri sorumlularının işlemeyi gerektiren hukuki yükümlülüğü doğuran özel kanunu, tavsiyeyi, kurul veya mahkeme kararını, içtihadı veya rehberi açıkça işaret etmeleri gerektiği ifade edilmiştir. Ayrıca ilgili rehber notunda hukuki yükümlülük işleme şartının birincil kanuni düzenleme olabileceği gibi ikincil derecedeki mevzuata da işaret edebileceği belirtilmiştir.

GDPR gerekçesi madde 41 uyarınca, veri sorumlusunun genel amacının, genel hukuk kurallarında veya özel kanunda yeterince açık bir temeli olan hukuki bir yükümlülüğe uymak olduğunu kabul edilmiştir. Bu yükümlülük belirli bir kanuni hükme atıfta bulunarak veya onun uygulanmasını açıkça ortaya koyan bir tavsiye, kurul kararı veya rehber gibi kaynaklara işaret ederek tanımlanabiliyorsa hukuki yükümlülük işleme şartı olarak kabul edilecektir.

Örneğin bir mahkeme kararı ile kişisel verilerin belirli bir amaç için işlenmesi gerekli kılınabilir ve bu mahkeme kararına uyulması kanuni bir zorunluluk arz etmektedir. İdarece tesis edilen düzenleyici işlemler de ayrıca, uygulamayı destekleyen kanuni bir temelin olması durumunda hukuki yükümlülük olarak değerlendirilmiştir.

KİŞİSEL VERİLERİN KORUNMASI KANUNU’NDA TEKLİF EDİLEN DEĞİŞİKLİKLER

16 Şubat 2024 tarihinde KVKK’da değişiklikler öngören 8. Yargı Paketi (“Kanun Teklifi”) Türkiye Büyük Millet Meclisi Başkanlığı’na sunulmuş olup 2 Mart 2024 tarihinde Genel Kurul’da kabul edilmiştir. Kanun Teklifi’nin özellikle özel nitelikli kişisel verilerin işlenmesi ve kişisel verilerin yurtdışına aktarılması hususlarında önerdiği hükümler incelendiğinde, GDPR ile uyumu sağlamaya yönelik adımlar atıldığı görülmektedir.

(Aşağıda yer alan kalın punto ile işaretlenmiş hükümler, Kanun Teklifi’nin öngördüğü değişikliklere işaret etmektedir.)

  • “Özel nitelikli kişisel verilerin işlenme şartları” kenar başlıklı 6. maddesinde değişiklik yapılması önerilen Kanun Teklifi maddesi şu şekildedir:

Madde 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) ilgili kişinin açık rızasının olması.
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasının açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.

(3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen
yeterli önlemlerin alınması şarttır.

  • “Kişisel verilerin yurt dışına aktarılması” kenar başlıklı 9. maddesinde değişiklik yapılması önerilen Kanun Teklifi maddesi şu şekildedir:

Madde 9 –

(1) Kişisel veriler, 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

(2) Yeterlilik kararı Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik karan, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

(3) Yeterlilik karan verilirken öncelikle aşağıdaki hususlar dikkate alınır:

a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.

(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.

(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir

(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

  • “Kabahatler” kenar başlıklı 18. maddesinde değişiklik yapılması önerilen Kanun Teklifi maddesi ile KVKK madde 9/5. fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği ve ilgili fıkrada öngörülen idari para cezasının, muhtelif idari para cezası kalemlerinden farklı olarak veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı hükme bağlanmıştır.

Son olarak, ilgili madde ile getirilen değişiklik ise Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerinde dava açılabileceği yönündedir.

GRC LEGAL Yorumu

Yürürlüğe girişinin 8. yılında, uzun zamandır beklenen KVKK değişikliği nihayet 8. Yargı Paketi içerisinde kendine yer bulmaktadır. Bu kapsamda, kişisel verilere temas eden şirketlerin önerilen maddeler doğrultusunda yeni bir uyum sürecine girmesi gerektiği kaçınılmazdır. Nitekim, Kanun Teklifi’nde özel nitelikli kişisel veri işleme şartlarına ilişkin istisnalar kapsamlı bir şekilde genişletilirken, yurtdışı aktarımına ilişkin madde topyekûn yeniden düzenlenmiş ve böylelikle GDPR uyumluluğuna doğrultusunda ilerleme adımları kaydedilmiştir.

Özel nitelikli kişisel verilerin işlenmesine yönelik hukuki sebeplere ilişkin olarak, genel nitelikli kişisel verilerin işlenmesine ilişkin KVKK madde 5 ile sayılan istisnalar ile birlikte ilave birtakım hukuki sebepler sayılmaktadır. İlgili madde hükmünde sağlık bilgileri ile muhtelif özel nitelikli kişisel veriler bakımından bir ayrıma gidilmemiş ve getirilen istisnalar ile mevzuat çatışmalarına yol açan açık rıza hususuna ilişkin sorunlar giderilmeye çalışılmıştır (örneğin, işyeri hekimi bulundurması zorunlu olmayan işverenin çalışanların sağlık dosyalarını açık rıza almadan temin edebilecek olması). Bu anlamda, veri sorumlularının iş süreç ve faaliyetlerini kolaylaştıran ve reel sektör dinamiklerine uyumlanan bir düzenlemenin belirlendiğini söylemek mümkündür.

Kişisel verilerin yurt dışına aktarılması hususuna ilişkin olarak, mevcut madde düzenlemelerinde sürecin yürütülebilmesi adına gidilebilecek tek yol açık rıza teminidir. Zira, Kurul bugüne kadar aktarım yapılacak herhangi bir ülke için bir yeterlilik kararı vermemiş, ek olarak KVKK yürürlük tarihinden itibaren yalnızca 8 adet yazılı taahhütname başvurusuna onay vermiştir. Kanun Teklifi ile ise, yurtdışı aktarımına ilişkin olarak
i)yeterlilik kararına dayalı olarak gerçekleştirilen aktarım,
ii) uygun güvencelere dayalı olarak gerçekleştirilen aktarım,
iii) arızi durumlara dayalı olarak gerçekleştirilen aktarım olmak üzere üç alternatifli bir sistem öngörülmekte olup ilgili kişilerden açık rıza temin edilmesini zorunlu kılan uygulama bertaraf edilmektedir.

Veri sorumluları tarafından Veri Sorumluları Sicil Bilgi Sistemi’ne yurtdışı aktarımı gerçekleştirmediklerine dair kayıtlar girildiği sık karşılaşılan bir durumdur. Halbuki, günümüz koşullarında kullanımı oldukça yaygın olan eposta sunucularının ve kullanılan yazılımların sunucularının yurtdışında mukim olması sebebiyle yurtdışı aktarımı gerçekleştirmeyen bir veri sorumlusu mevcudiyetinden bahsetmek imkansıza yakındır. Bu anlamda getirilen yeni düzenleme, söz konusu hususlara ilişkin daha pratik bir uygulama getirecekken aynı zamanda grup şirketi yurt dışında mukim veri sorumluları açısından da kolaylık sağlayacaktır.

Kanun Teklifi Geçici Madde 3 uyarınca, yurtdışı aktarımını düzenleyen mevcut 9. madde, 1 Eylül 2024 tarihine kadar uygulanmaya devam edecek ve 1 Haziran 2024 tarihine kadar sulh ceza hakimliklerinde görülmekte olan başvurular aynı hakimliklerde görülmeye devam edecektir.

Bu doğrultuda, KVKK aktörlerinin esaslı değişikliklere yol açacak ve uygulamaları tümden değiştirecek ilgili düzenlemeleri göz önünde bulundurmaları gerekmektedir. Veri sorumlularının aydınlatma metinleri, açık rıza beyanları vb. aksiyonlar kapsamında kurguları yeniden düzenlemeleri gerekmekte olup tekrar bir uyum sürecine girmeleri önem arz etmektedir