Kişisel Verileri Koruma Kanundaki değişiklikleri de içeren 8. Yargı Paketi, 12 Mart 2024 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. GDPR uyumu kapsamında oluşturulan 8. Yargı Paketi’nde özel nitelikli kişisel veriler, kişisel verilerin yurtdışına aktarımı ve kabahatler ile ilgili yeni düzenlemeler mevcuttur. Yapılan değişiklikler ile birlikte KVKK, GDPR ile uyuma bir adım daha yaklaşmıştır.

Mevzubahis değişiklikler şu şekilde sıralanabilir:

Özel Nitelikli Kişisel Verilerin İşlenmesi

Değişiklik öncesi durumda özel nitelikli kişisel verilerden sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenebilmesi kanunlarda öngörülmesi halinde açık rızası olmaksızın mümkünken, KVKK’nın 6. maddesinin 2. fıkrasında yapılan değişiklikler ile özel nitelikli verilerin işlenme şartları genişletilmiş, sağlık ve cinsel hayat hakkındaki özel nitelikli kişisel veriler ayrı tutulmamıştır. Bu kapsamda artık özel nitelikli kişisel veriler, ilgili kişinin açık rızası olması veya kanunlarda yer alması durumlarında işlenebilecektir. 

Yine diğer özel nitelikli kişisel veri işleme şartı ise kişi için belli açılardan zorunlu olması, alenileştirme, bir hakkın tesisi, uygulanması ya da korunması için elzem olması, istihdam için zorunlu olması, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf veya diğer kâr amacı gütmeyen kuruluşların kuruluş iradeleri ile uyumlu olması şartlarının birisinin gerçekleşmesi ile özel nitelikli kişisel verileri işlemek mümkün olacaktır.

Yurtdışına Kişisel Veri Aktarımı

KVKK’nın 9. Maddesinde yapılan değişiklikler ile yurtdışına kişisel veri aktarımı ise yine KVKK’nın 5. ve 6. maddelerindeki şartların varlığı halinde ve verilerin aktarıldığı yer açısından “yeterlilik” kararının bulunması halinde mümkün olacaktır. Yeterlilik kararları ise KVKK tarafından verilecektir.

Yine KVKK tarafından “yeterlilik” kararı olmasa dahi aşağıdaki şartlar da yurtdışına kişisel veri aktarımını mümkün kılacaktır:

• Yurt dışındaki kuruluşlar veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları ile akdedilen, uluslararası anlaşma niteliğinde olmayan bir anlaşmanın varlığı ve KVKK tarafından bu aktarıma izin verilmesi.
• Ortak ekonomik faaliyette bulunan şirketlerin yerine getirmekle yükümlü oldukları, kişisel verilerin korunması hakkında hükümler ihtiva eden ve KVKK tarafından onaylanan bağlayıcı şirket kurallarının var olması.
• KVKK tarafından ilan edilen veri kategorileri, alıcı ve alıcı grupları, veri aktarımının amaçları, alıcı tarafından alınacak idari ve teknik idari tedbirler, özel nitelikli kişisel veriler için alınan ek tedbirler gibi hususları ihtiva eden standart sözleşmenin varlığı. Yeterli korumayı sağlayacak hükümlerin olduğu yazılı taahhütnamenin varlığı.
• Yeterli korumayı sağlayacak hükümlerin olduğu yazılı taahhütnamenin varlığı ve KVKK tarafından aktarıma izin verilmesi.

Bunun yanında, yeterlilik alınmaması ve yukarıdaki şartların yer almaması halinde de birtakım hallerde kişisel veriler yurtdışına aktarılabilecektir:

• İlgili kişinin, riskler hakkında bilgilendirilmesi ve açık rıza vermesi,
• Aktarımın bir sözleşmenin ifası veya sözleşme öncesi tedbir açısından zorunlu olması.
• Aktarımın üstün Kamu yararı için elzem olması.
• KVKK m.5/2-b ve c içerisindeki şartların olması.
• Açık sicile erişmek için belli şartların varlığı.

Kurul Kararları, Cezalar ve Kabahatler

Tüm bunların yanında bildirim yükümlülüğünün yerine getirilmemesi durumunda 50.000 TL ve 1.000.000 TL arasında idari para cezası verilecektir.

Yine yeni KVKK değişikliği ile Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezalarına idari mahkemelerde itiraz edilebileceği düzenlenmiştir.

12 Mart 2024 tarihli Resmî Gazete’de yayımlanan değişiklerin tamamını incelemek için buraya tıklayabilirsiniz.