1.
Giriş
6698
sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Türkiye’de kişinin
mahremiyetinin veri güvenliğinin sağlanması yoluyla korunması ve kişisel
verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul
ve esasların düzenlenmesi bakımından önemli bir düzenleyici çerçeve
oluşturmuştur.
2016
yılı itibariyle yürürlüğe giren KVKK, Avrupa Birliği’nin 95/46 sayılı Direktif
temel alınarak hazırlanmıştır. KVKK’nın yürürlüğe girmesinden iki yıl sonra
Avrupa Birliği’nde 95/46 sayılı Direktif yerini Genel Veri Koruma Tüzüğü’ne (“GDPR”)
bırakarak değişikliğe uğramıştır. Bu durum, 95/46 sayılı Direktif’i temel alan KVKK’nın
güncelliği ve teknoloji ile iş süreçlerindeki değişimlere uyumu hususunda adım
atılması ihtiyacı doğurmuştur.
İşbu
ihtiyaçlar 2024-2026 Orta Vadeli Planda “Mal ve hizmet ihracatını etkileyen
yönleriyle AB dijital ekonomi düzenlemeleri doğrultusunda, Kişisel Verilerin
Korunması Kanunu (KVKK)’nın Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR)
başta olmak üzere AB müktesebatına uyum süreci tamamlanacaktır. Doğrudan
yatırımlar açısından aciliyet taşıyan hususlarda düzenlemeler daha erken
gündeme alınacaktır.” şeklindeki düzenleme ile doğrudan yatırımlar
açsısından aciliyet taşıyan hususlar için öncelikli bir revizyon yapılacağı ve
akabinde tam bir uyum süreci gerçekleştirileceği öngörülmüştür.
KVKK’nın
GDPR ile uyumlu hale getirmeye yönelik çalışmalar 7499 sayılı Ceza Muhakemesi
Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun kapsamında sürdürülmüştür.
İşbu kanunda KVKK’nın 6, 9, ve 18.
maddelerinde kapsamlı değişiklikler yapılmıştır. Değişikliklerle birlikte veri
işleme süreçlerinde kritik rol oynayan “özel nitelikli kişisel veriler” ve
“yurt dışına aktarım” gibi hususlar revize edilmiştir.
2.
Özel Nitelikli Kişisel Verilerin İşlenmesi (KVKK m.6)
KVKK
m. 6’nın 1. fıkrası uyarınca; “Kişilerin ırkı, etnik kökeni, siyasi
düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik
verileri özel nitelikli kişisel veridir.” şeklinde özel nitelikli kişisel
veriler değişikliğe yer verilmeksizin tahdidi olarak sayılmıştır.
KVKK
6. maddenin 2. fıkrası uyarınca; “Özel nitelikli kişisel verilerin işlenmesi
yasaktır.” vurgusu muhafaza edilmiştir. Gerek hukuki işleme sebeplerinin
yeniden formüle edilerek genişletilmiş olmasından gerekse de hukuki işleme
sebepleri arasında hiyerarşik fark olmadığını vurgulamak açısından fıkranın
içeriğinde bulunan özel nitelikli verilerin açık rıza olmaksızın işlenemeyeceği
ibaresi kaldırılmıştır. [1]
Buna
göre özel nitelikli kişisel verilerin işlenmesi;
•İlgili
kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği
kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya
korunması için zorunlu olması,
• Sır saklama yükümlülüğü altında
bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması,
koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile
sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli
olması,
• İstihdam, iş sağlığı ve güvenliği,
sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki
yükümlülüklerin yerine getirilmesi için zorunlu olması,
• Siyasi, felsefi, dini veya sendikal
amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da
oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet
alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya
eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak
temasta olan kişilere yönelik olması,
hallerinde
mümkün kılınmıştır.
2.1.
Fiili İmkansızlık Sebebiyle Kişisel Verilerin İşlenmesi Yeni Bir Hukuki İşleme
Sebebi Olarak Tanımlanmıştır
Yeni
düzenleme ile fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
bulunan veya rızasına hukuki geçerlilik tanımayan kişinin kendisinin ya da bir
başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde
özel nitelikli verilerin işlenmesine olanak tanınmıştır. Nitekim KVKK
gerekçesinde de belirtildiği üzere herhangi bir sebeple bilinç kaybından ötürü
rızasını açıklayamayacak durumda olan kişinin hayatının veya beden bütünlüğünün
korunması amacına mahsus olarak kan grubu ve geçirilen hastalıklar gibi özel
nitelikli kişisel veriler fiili imkânsızlık hukuki işleme sebebi bağlamında
işlenebilecektir.
2.2. Aleni Özel Nitelikli Kişisel Verilerin
İşlenmesi Yeni Bir Hukuki İşleme Sebebi Olarak Tanımlanmıştır
İlgili
kişinin alenileştirdiği kişisel verilerin, alenileştirme iradesine uygun olarak
işlenmesi yeni bir hukuki işleme sebebi olarak tanımlanmıştır. Nitekim
gerekçede de bir kişinin acil durumlarda kullanılması için, herkesçe
erişilebilir bir alanda paylaşmış olduğu kan grubu ve alerji bilgileri gibi
kişisel verilerinin bu amaca uygun olarak işlenmesi ve kullanılması hukuka
uygun olacağı beyan edilmiştir.
2.3. Bir Hakkın Tesisi, Kullanılması veya
Korunması İçin Veri İşlemenin Zorunlu Olması Özel Nitelikli Kişisel Verilerin
İşlenmesi İçin Yeni Bir Hukuki İşleme Sebebi Olarak Tanımlanmıştır
Yapılan
yeni düzenleme ile özel nitelikli kişisel verilerin bir hakkın tesisi, kullanılması
veya korunması için veri işlemenin zorunlu olduğu hallerde özel nitelikli
verilerin işlenebilmesinin yolunu açmıştır. Doktrinde söz konusu değişikliğin
uygulamada karşılaşılan birçok çelişkili durumu ortadan kaldıracağı beyan
edilmiştir. Örneğin bir doktorun kendisine karşı açılan malpraktis davasında
kendisini savunabilmesi için delilleri mahkemeye sunması ya da zamanaşımı
süresi içinde ilgili belge ve kayıtları saklaması gereklidir. Ancak değişiklik
öncesi Kanun’da özel nitelikli veriler bakımından böyle bir hukuka uygunluk
sebebi düzenlenmediğinden; bu gibi hâllerde veri işlemenin hukuka aykırı olduğu
sonucuna varmak gerekmekteydi. Bu hükümle söz konusu sorun bertaraf edilmiştir.
[2]
Bunun
yanında Kanun gerekçesinde de belirtildiği üzere, örneğin, iş sözleşmesinin
sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması
bakımından işverenin eski işçisine ait sağlık verilerini saklamaya devam etmesi
bu kapsamda değerlendirilebilecektir.
2.4. İstihdam, İş Sağlığı Ve Güvenliği, İş ve
Sosyal Güvenlik veya Sosyal Hizmetler ile Sosyal Yardım Alanındaki Hukuki
Yükümlülüklerin Yerine Getirilmesi İçin Özel Nitelikli Kişisel Verilerin
İşlenmesi Yeni Bir Hukuki İşleme Sebebi Olarak Tanımlanmıştır
İstihdam,
iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal
yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olma
hali özel nitelikli kişisel verilerin işlenmesi için bir hukuki işleme sebebi
olarak tanımlanmıştır. Özellikle 6098 sayılı Türk Borçlar Kanunu ile 4857
sayılı İş Kanunu’nun özel nitelikli kişisel veri işlenmesini gerektirir hukuki
yükümlülükler öngördüğü dikkate alındığında, işbu madde ile belirsizlikler
çözüme kavuşturulmuştur.
Gerekçede
belirtildiği üzere, örneğin, 4857 sayılı İş Kanunu ile işverenlere engelli veya
hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından kişilerin
sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işlenmesi,
diyaliz hastalarına sunulan sağlık kuruluşuna taşıma hizmetinin yerine
getirilebilmesi için kişinin sağlık raporunun işlenmesi bu yeni hukuki işleme
sebebi kapsamda değerlendirilecektir.
Bunun
yanında yapılan değişiklikle başlıca deprem olmak üzere doğal afetler
sonrasında yardımların koordinasyonu için kişisel verilerin işlenmesi zarureti
doğduğundan işbu konuya hukuki dayanak kazandırılmıştır.
2.5. Siyasi, Felsefi, Dini Veya Sendikal
Amaçlarla Kurulan Vakıf, Dernek Veya Diğer Kâr Amacı Gütmeyen Kuruluş Ya Da
Oluşumların Üyelerine Yönelik İşlemler Yeni Bir Hukuki İşleme Sebebi
Tanımlanmıştır
Yeni
düzenleme ile siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf,
dernek veya diğer kâr amacı gütmeyen oluşumlar tarafından, özel nitelikli
kişisel verilerin kanunla sınırlı olarak işlenebilmesinin önünü açmıştır. Buna
göre, bu kuruluş ve oluşumlar, mevcut ve eski üyeleri ile bu kuruluş ve
oluşumlarla düzenli olarak temas halinde olan kişilerin özel nitelikli
verilerini işleyebilecektir. Ancak işlenebilecek veriler kuruluşların amacına
ve tabi oldukları mevzuatla sınırlıdır ayrıca veriler üçüncü kişilerle
paylaşılamayacaktır.
Gerekçede
belirtildiği üzere, örneğin, bu kuruluş ve oluşumların mevcut üyelerinin yanı
sıra eski üyeleri ve düzenli olarak bağış yapmak suretiyle kendisiyle temas halinde
olan kişilerin bu durumlarına ilişkin bilgiyi işlemesi bu bent kapsamında
değerlendirilecektir.
3.
Kişisel Verilerin Yurtdışına Aktarılması (KVKK m.9)
KVKK’nın
eski düzenlemesi uyarınca ilgili kişinin açık rızası aranmaksızın kişisel
verilerin yurt dışına aktarılabilmesi için KVKK’nın 5. maddesinin ikinci
fıkrası ile 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin
bulunması ve KVK Kurulu tarafından kişisel verilerin aktarılacağı ülke
bakımından yeterli korumanın bulunduğuna karar verilmiş olması (yeterlilik
kararı) gerekmektedir. Kurul tarafından adına yeterlilik kararı alınmamış
ülkeler bakımından kişisel verinin aktarımı yalnızca açık rıza ve veri
sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri yoluyla
sağlanmaktadır.
Değişiklik gerekçesinde
bu durum, “ticari hayatta
hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve
sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların
hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği” ve “ülkemize yapılacak yatırımları da
engellediği” belirtilerek GDPR ile uyumlu olarak yeni
mekanizma belirlenmiştir.
Buna göre kişisel
verilerin yurtdışına aktarımı;
•
Yeterlilik kararına dayalı aktarım
•
Uygun güvencelere dayalı aktarım
•
Arızi durumlara dayalı aktarım
yollarına
bağlı olması şartıyla mümkün kılınmıştır.
3.1. Yeterlilik Kararı ile Aktarımın Kapsamı
Genişletilmiş ve Ülke, Ülke İçerisindeki Sektörler veya Uluslararası Kuruluşlar
Hakkında Yeterlilik Kararı Alınabileceği Öngörülmüştür
Yeni
düzenlemeyle kişisel verilerin KVKK’nın 5. ve 6. maddelerinde belirtilen
şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş
veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde,
veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabileceği
belirtilmiştir.
Yasa
ile mevcut hükümden farklı olarak yabancı ülkenin tamamı yerine o ülke
içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı
verilmesine imkân tanınmıştır. Gerekçeli kararda sunulan örnek uyarınca yeni
kanun düzenlemesi ile beraber Türkiye’deki otomotiv sektörünün yoğun ticari
ilişki kurduğu bir yabancı ülkenin tamamı yerine o ülkedeki otomotiv sektörü
bakımından yeterlilik kararı verilmesi mümkün hale gelmiştir.
Yeterlilik
kararının verilişine ilişkin kurallarda ise esaslı değişikliğe gidilmemiştir.
Yeni düzenleme uyarınca yeterlilik kararı KVK Kurulu tarafından verilecektir ve
bu karar Resmî Gazete’de yayımlanarak yürürlüğe girecektir. Önceki düzenlemede
yeterlilik kararının Resmî Gazete’de yayımlanma şartı bulunmazken Kurulun
yeterli düzeyde korumanın sağlandığı veya sağlanmadığına dair kararların
ilgililere ulaşması için Resmî Gazete aracılığıyla bilgilendirme yolu
seçilmiştir.
Verilen
yeterlilik kararı bakımından KVK Kurulu gözden geçirme sonucunda veya gerekli
gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere
değiştirme, askıya alma veya kaldırma yetkisine haiz kılınmıştır. Bunun yanında
her halükârda yeterlilik kararının en geç dört yılda bir değerlendirileceği
öngörülmüştür. Öngörülen sürede yeterlilik kararı değerlendirilmemesi halinde
yeterlilik kararı geçerliliğini korumaya devam edecektir.
3.2. Yeterlilik Kararının Alınamadığı
Durumlarda Uygun Güvencelerin Mevcudiyeti Halinde Yurt Dışına Aktarım
Yapılabileceği Öngörülmüştür
Yeterlilik
kararının bulunmaması durumunda, KVKK’nın 5. ve 6. maddelerinde belirtilen
şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de
haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması
kaydıyla, uygun güvencelerden birinin taraflarca sağlanması halinde veri
sorumluları ve veri işleyenler tarafından yurt dışına aktarılması mümkün hale
gelmiştir.
Yukarıda
beyan edilen güvencelere sahip olunup olunmadığının tespiti ve bu hususta hesap
verme yükümlülüğü veri sorumlusu ile veri işleye aittir. Veri sorumlusu ve veri
işleyenin güvencelere bağlı olarak veri aktarımı yapmayı taahhüt ettiği
hallerde, eylemlerinin neden-sonuç ilişkisini tüm aktarım ve sonraki aktarımlar
için açıklayacak durumda olmalıdırlar. [3]
Güvencelere
dayalı yurt dışına kişisel veri aktarımı yapılabileceği ilk hal yurt dışındaki
kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu
kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında
yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın mevcudiyetidir.
Belli alanda yapılması öngörülen işbirliği protokolünün KVK Kurulu’nun izninden
de geçmesi halinde karşılıklı faaliyetler neticesinde elde edilen veriler yurt
dışına aktarılabilecektir.
Güvencelere
dayalı yurt dışına kişisel veri aktarımı yapılabileceği ikinci hal ortak
ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla
yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden
ve KVK Kurulu tarafından onaylanan bağlayıcı şirket kurallarının varlığı
halidir. Böylelikle Kurul tarafından onaylanmış bağayıcı şirket kurallarına
haiz bir teşebbüs grubunun Türkiye’deki şirketinden, aynı grubun yurt dışındaki
şirketine veri aktarımı yapılmasının önü açılmıştır.
Güvencelere
dayalı yurt dışına kişisel veri aktarımı yapılabileceği üçüncü hal KVK Kurulu
tarafından ilan edilmiş standart sözleşmelerin kullanımı halidir. Böylelikle
KVKK ile asgari sınırda öngörülen yükümlülüklerin yurt dışındaki yan tarafından
tıpkı Türkiye’de öngörülen şekilde korunacağı taahhüt edilebiliyorsa bu
yöntemle veri aktarım süreci başlatılabilecektir. İşbu sözleşmelerin
imzalanması akabinde 5 iş günü içinde KVK Kurulu’na bildirim yapılacağı da
öngörülmüştür.
Yurt
dışına aktarımın standart sözleşmeler aracılığıyla gerçekleştirilmesi halinde de
KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili
kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun
yollarına başvurma imkânının bulunması kriterleri mevcut olmalıdır. Her ne
kadar işbu halde sözleşmenin yürürlüğü için KVK Kurumu’nun onayı aranmamışsa da
taraflara getirilmiş belirli süreli bildirim yükü ile yerindelik incelemesi
yapması ve veri sorumlularını ve veri işleyenleri re’sen incelemeye almasının
önü açılmıştır. [4]
Güvencelere
dayalı yurt dışına kişisel veri aktarımı yapılabileceği dördüncü hal, yeterli
korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve
KVK Kurulu tarafından bu aktarıma izin verilmesi halidir. Eski düzenlemede de
yer alan bu aktarım türü ile yeterlilik kararı bulunmasa da veri sorumlusu veya
veri işleyenin taahhütnamesi ve KVK Kurulu’nun onayı eşliğinde aktarımın devam
edeceği öngörülmüştür.
3.3. Yeterlilik Kararının Bulunmadığı ve Uygun
Güvencelerin Mevcut Olmadığı Hallerde Arızı Durumlara Dayalı Aktarım
Yapılabileceği Öngörülmüştür
Yeterlilik
kararı ve uygun güvencelerin mevcut olmadığı bazı istisnai durumlarda arızı
olmak kaydıyla yurtdışına veri aktarılmasına imkan tanınmıştır. Arızi olma
durumu ek veya birkaç sefer ve süreklilik taşımayacak şekilde yapılan veri
aktarımı anlamı taşımaktadır. Yasanın gerekçesinde belirtildiği üzere
Türkiye’deki bir şirketin yurt dışında bulunan bir şirketle arızi olarak
gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat
halinde olacak çalışanlarına ilişkin bilgileri paylaşması bu kapsamda
değerlendirilecektir.
Arızi
olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği ilk hal aktarıma
açık rıza vermesi halidir. Kanun koyucu bu şekilde veri aktarımının
gerçekleştirilmesi için ilgili kişinin muhtemel riskler hakkında
bilgilendirilmesi şartını aramıştır. Kanun lafzında özellikle ilgili kişinin
işbu hukuki durum ve riskler hakkında bilgisi ve onayının açıkça alınması
hususu beyan edilmiştir.
Arızi
olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği ikinci hal,
aktarımın ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya
ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması
için zorunlu olması halidir. Bir seyahat acentesi tarafından bir müşterisine
ilişkin üçüncü bir ülkedeki otelde ön-rezervasyon yapması bu aktarıma örnek
olarak verilebilir.
Arızi
olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği üçüncü hal,
aktarımın ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel
kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu
olması halidir. İşbu duruma seyahat acentesinin uçuşa ilişkin detayları
havayolu şirketine iletmesi gibi faaliyetler örnek olarak gösterilebilir.
Arızi
olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği dördüncü hal,
aktarımın üstün bir kamu yararı için zorunlu olması halidir. İnsani yardım
sebebiyle gerçekleştirilecek veri aktarımı, rekabet ve vergi otoriteleri
arasında kamu yararına yapılacak yaptırımlar bu kapsamda değerlendirilebilir.
Arızi
olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği beşinci hal,
fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya
rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının
zorunlu olması halidir. Bir hastanın tıbbi verilerinin tedavi amaçlı olarak
üçüncü bir ülkeye acil bir durumda transfer edilmesinin gerektiği durumlarda bu
arızi aktarıma başvurulması mümkündür.
4.
Yürürlük ve Geçiş Süreci
Yapılan
değişikliklerin 1 Haziran 2024 tarihi itibariyle yürürlüğe girmesi
öngörülmüştür. Bununla birlikte KVKK’nın 9. maddesinde öngörülen “Kişisel
veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” kuralının
1 Eylül 2024 tarihine kadar yürürlükte kalacağı düzenlenmiştir. Kanun Koyucu
açıkça veri sorumluları ve veri işleyenlerin gerekli düzenlemeleri yapmaları
için üç ay süreli bir geçiş dönemi öngörmektedir. Geçiş süreci boyunca veriler
açık rızaya bağlı olarak aktarılabileceği gibi yeni kurulan rejimdeki
enstrümanların kullanılması suretiyle yurt dışına aktarım devam edebilecektir. [5]
5.
Sonuç
659
Sayılı Kanun Hükmünde Kararname kapsamında KVKK’da öngörülen değişiklikler GDPR
ile paralel olarak verilerin hem işlenmesinde hem de korunmasında önemli
iyileştirmeler yapmaktadır. Özellikle yurt dışına aktarımla ilişkin yapılan
revizeler ile süreç detaylı şekilde düzenlenmiş ve prosedürler net bir şekilde
ortaya konmuştur.
Stj.
Av. Berfin Dicle Onar
Kaynakça:
1. Kaya, Mehmet Bedii
(2024) KVKK Reformu: 2024 Değişiklikleri, s.12
2. Ömer
Ekmekçi, Nafiye Yücedağ, Elif Beyza Akkanat-Öztürk, Şehriban İpek Aşıkoğlu
(2024) Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde
Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi ile 6698 Sayılı Kanun’da
Yapılan Değişiklikler, Lexpera Blog,
3.
Kaya,
Mehmet Bedii (2024) KVKK Reformu: 2024 Değişiklikleri, s. 37
4.
Canpolat, Yaşar K. KVKK’da GDPR ile Uyum İçin İlk Adım Atıldı; Özel Nitelikli
Verilerin İşlenme Şartları ve Yurt Dışına Aktarım Mekanizmaları Değişti
5.
Kaya,
Mehmet Bedii (2024) KVKK Reformu: 2024 Değişiklikleri, s. 70