← Önceki Madde [30]
[32] Sonraki Madde →
RESMİ METİN

Yönetmelik

MADDE 31- (1) Bu Kanunun uygulanmasına ilişkin yönetmelikler Kurum tarafından yürürlüğe konulur. Geçiş hükümleri GEÇİCİ MADDE 1- (1) Bu Kanunun yayımı tarihinden itibaren altı ay içinde 21 inci maddede öngörülen usule göre Kurul üyeleri seçilir ve Başkanlık teşkilatı oluşturulur. (2) Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır. (3) Bu Kanunun yayımı tarihinden önce işlenmiş olan kişisel veriler, yayımı tarihinden itibaren iki yıl içinde bu Kanun hükümlerine uygun hâle getirilir. Bu Kanun hükümlerine aykırı olduğu tespit edilen kişisel veriler derhâl silinir, yok edilir veya anonim hâle getirilir. Ancak bu Kanunun yayımı tarihinden önce hukuka uygun olarak alınmış rızalar, bir yıl içinde aksine bir irade beyanında bulunulmaması hâlinde, bu Kanuna uygun kabul edilir. (4) Bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde yürürlüğe konulur. (5) Bu Kanunun yayımı tarihinden itibaren bir yıl içinde, kamu kurum ve kuruluşlarında bu Kanunun uygulanmasıyla ilgili koordinasyonu sağlamak üzere üst düzey bir yönetici belirlenerek Başkanlığa bildirilir. (6) İlk seçilen Başkan, İkinci Başkan ve kura ile belirlenen iki üye altı yıl; diğer beş üye ise dört yıl görev yapar. (7) Kuruma bütçe tahsis edilene kadar; a) Kurumun giderleri Başbakanlık bütçesinden karşılanır. b) Kurumun hizmetlerini yerine getirmesi amacıyla bina, araç, gereç, mefruşat ve donanım gibi gerekli tüm destek hizmetleri Başbakanlıkça sağlanır. (8) Kurumun hizmet birimleri faaliyete geçinceye kadar sekretarya hizmetleri Başbakanlık tarafından yerine getirilir. GEÇİCİ MADDE 2- (Ek:28/11/2017-7061/120 md.) (1) En az dört yıllık lisans öğrenimi veren siyasal bilgiler, iktisadi ve idari bilimler, iktisat, hukuk ve işletme fakültelerinden, mühendislik fakültelerinin elektronik, elektrikelektronik, elektronik ve haberleşme, bilgisayar, bilişim sistemleri mühendisliği bölümlerinden ya da bunlara denkliği Yükseköğretim Kurulu tarafından kabul edilen yurt içi ve yurt dışındaki yükseköğrenim kurumlarından mezun olanlardan; mesleğe özel yarışma sınavı ile girilen ve belirli süreli meslek içi eğitimden ve özel bir yeterlik sınavından sonra 657 sayılı Kanunun 36 ncı maddesinin “Ortak Hükümler” başlıklı bölümünün (A) fıkrasının (11) numaralı bendinde belirtilen unvanlara ilişkin kurumların merkez teşkilatlarına ait kadrolara atanmış ve bu kadrolarda aylıksız izin süreleri hariç en az iki yıl bulunmuş olanlar ile öğretim üyesi kadrolarında bulunanlar, Yabancı Dil Bilgisi Seviye Tespit Sınavından en az yetmiş puan almış olmak ve atama tarihi itibarıyla kırk yaşından gün almamış olmak kaydıyla, bu maddenin yürürlüğe girdiği tarihten itibaren bir yıl içinde Kişisel Verileri Koruma Uzmanı olarak atanabilirler. Bu şekilde atanacakların sayısı on beşi geçemez. GEÇİCİ MADDE 3- (Ek:2/3/2024-7499/36 md.) (1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur. (2) 1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekman başvurular, bu hâkimliklerce görülmeye devam olunur.

AKADEMİK YORUM VE ANALİZ

1. Maddenin Sistematiği ve Genel Açıklama

Bu madde ve beraberindeki geçici maddeler, Kişisel Verilerin Korunması Kanunu’nun "İkincil Mevzuat Çıkarma Yetkisi" ile Kanun’un hem 2016 yılındaki ilk yürürlük sürecindeki hem de 2024 yılındaki 7499 sayılı Kanun köklü reformundaki geçiş rejimlerini düzenleyen son derece kritik usul normlarıdır.

Geçici hükümler, hukuki öngörülebilirlik, kazanılmış hakların korunması (vested rights), kamu düzeninin kesintisiz işlemesi ve veri sorumlularının yeni yasal yüklere uyum sağlayabilmesi adına tasarlanmış hukuki amortisörlerdir. Madde 31, yasama organının teknik detayları bağımsız Kurum’un uzmanlığına devrettiği (düzenleme yetkisi) alanı açarken, Geçici Maddeler ise geçmiş ile gelecek arasındaki zamanlararası hukuk (intertemporal law) sorunlarını çözer.

2. Maddedeki Kavramların Analizi

  • İkincil Mevzuat Çıkarma Yetkisinin Devri (m. 31/1): Kanun koyucu, kişisel veri hukukunun son derece teknik ve dinamik yapısı gereği, bu kanunun uygulanmasına ilişkin tüm yönetmelikleri çıkarma yetkisini doğrudan Kişisel Verileri Koruma Kurumu’na devretmiştir. Bu yetki uyarınca Kurum; VERBİS Yönetmeliği, Silme-Yok Etme-Anonim Hale Getirme Yönetmeliği, Veri Sorumluları Temsilciliği Tebliği ve Yurt Dışı Aktarım Yönetmeliği gibi hayati ikincil düzenlemeleri Resmi Gazete’de yayımlayarak yürürlüğe koymuştur.

  • Zamanlararası Uyum Süreci ve Geçmiş Rızaların Akıbeti (Geçici m. 1/3): Kanunun 2016'da yürürlüğe girmesinden önce işlenmiş veriler için 2 yıllık bir uyum süresi tanınmıştır. En çok tartışılan konu ise eski kanunsuz dönemde alınmış rızaların akıbeti olmuştur. Geçici madde 1/3 uyarınca; eski dönemde hukuka uygun alınmış rızalar, kanun yürürlüğe girdikten sonra 1 yıl içinde aksine bir irade beyanı (itiraz, geri çekme) sunulmaması durumunda KVKK'ya uygun kabul edilmiştir. Bu, ticari hayatın bir anda durmasını engelleyen, pratik bir "kabul/onay karinesi"dir.

  • Üst Düzey Yönetici / Kamu Koordinatörlüğü (Geçici m. 1/5): Avrupa Birliği (GDPR) hukukundaki "Veri Koruma Görevlisi" (DPO - Data Protection Officer) müessesesinin Türk kamu bürokrasisindeki ilk tohumu bu maddedir. Tüm kamu kurumlarına, veri koruma koordinasyonunu sağlamak üzere üst düzey bir yönetici (genellikle müsteşar yardımcısı, genel müdür veya daire başkanı düzeyinde) belirleme yükümlülüğü getirilmiştir.

  • Kademeli Görev Süresi (Staggered Term) Tasarımı (Geçici m. 1/6): Kurul’un kurumsal hafızasının ve kararlılığının korunması amacıyla çok zekice bir yöntem uygulanmıştır. İlk seçilen üyelerden Başkan, İkinci Başkan ve kura ile belirlenen iki üye 6 yıl, diğer beş üye ise 4 yıl görev yapmıştır. Böylece, tüm üyelerin görev süresinin aynı anda bitmesi engellenmiş, Kurul üyelerinin kademeli olarak yenilenmesi sağlanarak kurumsal hafıza sürekliliği güvence altına alınmıştır.

  • Dışarıdan Uzman Transferi (Geçici m. 2): Kurum ilk kurulduğunda kendi yetişmiş uzman kadrosu yoktu. Bu eksikliği hızlıca kapatmak amacıyla, diğer kamu kurumlarında (başbakanlık, bakanlıklar, SPK, BDDK vb.) en az 2 yıl "kariyer uzman" olarak çalışmış nitelikli personelin 1 yıl içinde KVKK Uzmanı olarak doğrudan nakledilebilmesi sağlanmıştır. Bu sayede Kurum, ilk günden itibaren tecrübeli bir denetim mutfağına kavuşmuştur.

  • 7499 Sayılı Reformun Geçiş Hükümleri: Yurt Dışı Aktarım ve Yargı Yolu (Geçici m. 3): 2024 reformunun hayata geçirilmesinde iki devasa geçiş kuralı getirilmiştir:

    1. Çift Hatlı Yurt Dışı Aktarım Süreci (Geçici m. 3/1): Yurt dışına veri aktarımını tamamen değiştiren yeni m. 9 kuralları yürürlüğe girerken, şirketlerin yeni standart sözleşmeleri imzalaması ve Kurum onaylarını alması zaman alacağından, eski m. 9 (taahhütname ve açık rıza) hükümleri 1 Eylül 2024 tarihine kadar yeni hükümlerle birlikte paralel olarak uygulanmaya devam etmiştir.
    2. Sulh Ceza Davalarının Akıbeti (Geçici m. 3/2): 1 Haziran 2024’ten itibaren yeni davalar İdare Mahkemelerinde açılacak olmakla birlikte, Sulh Ceza Hâkimliklerinde görülmekte olan mevcut binlerce dosyanın yetkisizlik kararıyla idare mahkemelerine yollanarak kaos yaratılması engellenmiş; derhal uygulama ilkesine istisna getirilerek mevcut başvuruların Sulh Ceza Hâkimliklerince sonuçlandırılması kuralı getirilmiştir.

3. Sistematik İlişkiler

Madde 31 ve Geçici Maddeler; Anayasa’nın "zaman bakımından uygulama" ve "kazanılmış haklar" ilkeleriyle, İdari Yargılama Usulü Kanunu (İYUK) ve Kabahatler Kanunu ile doğrudan ilişkilidir. Kanun bünyesinde m. 9 (yurt dışı aktarım), m. 18 (para cezaları/itiraz), m. 21 (Kurul süresi) ve m. 26 (uzman kadrosu) maddelerinin geçiş aşamalarını belirler.

4. Uygulama ve Doktrin Değerlendirmeleri

  • Geçiş Sürecinde Kazanılan Deneyim: Geçici m. 3/1 uyarınca tanınan 1 Eylül 2024 tarihine kadarki süre, Türk iş dünyasının (özellikle bankaların ve e-ticaret devlerinin) yurt dışı cloud sağlayıcılarıyla olan sözleşmelerini revize etmeleri açısından can kurtaran simidi olmuştur. Bu süre olmasaydı, binlerce şirket 1 Haziran 2024 sabahı yasal olarak veri aktarımını durdurmak zorunda kalacak ve milyarlarca dolarlık ticari kayıp yaşanacaktı.
  • Derhal Uygulanma İlkesinin Esnetilmesi: Usul kurallarının "derhal uygulanması" (immediate application) hukukun genel ilkesidir. Ancak Geçici m. 3/2, bu ilkenin mutlak uygulanmasının yaratacağı pratik tıkanıklığı öngörerek, Sulh Ceza Hakimliklerindeki derdest dosyaları korumuş ve usuli süreklilik (kazanılmış hak benzeri usul güvencesi) sağlamıştır.

5. Pratik Örnek Olaylar

Örnek 1 (Eski Rızanın Geçerliliği Uyuşmazlığı): Bir GSM operatörü, 2015 yılında müşterisinden aldığı "kampanya SMS'i gönderme onayını", 2017 yılında da kullanmaya devam etmiştir. Müşteri, 2016 yılında yürürlüğe giren KVKK uyarınca bu rızanın geçersiz olduğunu iddia ederek şikâyetçi olmuştur. Operatör ise Geçici m. 1/3 uyarınca, 2015'te alınan rızanın hukuka uygun olduğunu ve müşterinin 1 yıl içinde bu rızaya itiraz etmediğini (aksine irade beyanında bulunmadığını) kanıtlamıştır. Kurul, geçici madde hükmü doğrultusunda rızanın kanuna uygun kabul edildiğine karar vererek operatöre ceza uygulamamıştır.

Örnek 2 (İtiraz Davasında Görevli Mahkeme Karmaşası): Kurul, bir veri sorumlusuna 15 Mayıs 2024 tarihinde ceza kesmiş ve ceza 25 Mayıs 2024 tarihinde tebliğ edilmiştir. Veri sorumlusu 28 Mayıs 2024 tarihinde Sulh Ceza Hâkimliği’ne itiraz başvurusu yapmıştır. 1 Haziran 2024’te 7499 sayılı Kanun’un idare mahkemelerini görevli kılan maddesi yürürlüğe girmiştir. Görevli mahkemenin neresi olacağı uyuşmazlığında, Geçici m. 3/2 uyarınca, 1 Haziran 2024 öncesi sulh ceza hakimliklerinde açılmış olan dava dosyası sulh ceza hakimliği tarafından karara bağlanmış, idare mahkemesine gönderilmemiştir.

6. Pratik Uygulama Notları

  • Geçiş Sürelerinin Hak Düşürücü Niteliği: Geçici maddelerde öngörülen geçiş süreleri (örn. 1 Eylül 2024 yurt dışı uyum son günü) hak düşürücüdür. Bu sürelerin aşılmasından sonra gerçekleştirilen veri işleme veya aktarım faaliyetleri doğrudan "hukuka aykırı" kabul edilir. Uyum departmanları geçiş hükümlerindeki tarihleri takvimlerinde kırmızı kalemle işaretlemelidir.

7. Eleştirel Değerlendirme

  • DPO Müessesesinin Eksikliği (Geçici m. 1/5'in Yetersizliği): Geçici m. 1/5 ile kamu kurumlarında koordinatör atanması zorunluluğu getirilmiş olmasına rağmen, bu zorunluluk özel sektör için öngörülmemiştir. GDPR'da yer alan "Veri Koruma Görevlisi" (DPO) zorunluluğu, şirketlerin iç bünyesinde veri koruma kültürünün yerleşmesini sağlayan en pratik araçtır. Türkiye'de DPO kurumunun yasal bir zorunluluk olarak ihdas edilmemesi, şirketlerde KVKK uyum süreçlerinin sadece dışarıdan alınan danışmanlık raporlarıyla kağıt üzerinde yürütülmesine ve içselleştirilememesine yol açmaktadır. 7499 reformunda bu yönde bir adım atılmamış olması ciddi bir eksikliktir.

Metodolojik Not

Bu akademik yorum ve analiz; 6698 sayılı Kanun’un 31. maddesinde öngörülen düzenleme yetkisini, Kanun'un ilk yürürlük rejimindeki rıza karinelerini ve kademeli görev süresi tasarımlarını, en önemlisi ise 2024 reformunun (7499 S.K.) getirdiği çift hatlı yurt dışı aktarım rejimini ve Sulh Ceza Mahkemelerindeki derdest davaların geleceğini Av. Fethi Güzel'in zamanlararası hukuk ve idari usul hukuku alanındaki derin akademik hassasiyetiyle analiz etmektedir.

← Önceki Madde [30]
[32] Sonraki Madde →

Metodolojik Not

Bu çalışma, Av. Fethi Güzel tarafından akademik dürüstlük ilkeleri çerçevesinde hazırlanmıştır. İçerik, güncel kanun değişiklikleri ve yüksek yargı kararları ışığında revize edilmektedir.