Personal Data Protection Regulation (KVKK) Amendments: A 2024 Overview

27/03/2024

The Personal Data Protection Regulation (KVKK), a cornerstone of privacy and data protection in Turkey, has been significantly amended. The Turkish Grand National Assembly adopted these changes on March 2, 2024, with the amendments expected to take effect on June 1, 2024, following publication in the Official Journal.

What's New in the KVKK?

• Under the revised Article 6, the processing of Sensitive Personal Data is prohibited without specific reasons and special conditions have been introduced for the processing of such data.
• Within the revision of Article 9, in the field of Data Transfer Abroad, data transfer is allowed in accordance with the international standards to be determined by the Commission, and data transfer abroad will be facilitated with new mechanisms and permissions.
• The amendment of Article 18, with the Administrative Fine amendment, a high amount of fine will be imposed if the standard contracts are not notified to the Authority. At the same time, the amendments introduced on the judicial remedy also introduce the possibility to file a lawsuit against the administrative fines imposed by the Commission before the administrative courts.

Impact on Data Controllers and Processors

The Amendment Proposal brings the Law closer to international standards and provides solutions to many problems; however, with the changes in practice, data controllers and processors need to increase their efforts to comply. With the adoption of the Amendments by the TBMM, data controllers will be required to review their efforts to comply with the Law, update their disclosure texts, accept the standard contractual provisions to be submitted to the Personal Data Protection Authority with the parties to the foreign transfer, and notify the Authority of these provisions. In addition, with the amendments, administrative fines will be imposed on data processors in case of breach of the notification obligation in terms of foreign transfers. The Amendment Proposal is planned to enter into force on June 1, 2024. In this context, it is recommended that data controllers and data processors closely follow the process and start working to adapt their data processing processes to the amendments.

Detailed Examination of the Amendments

With the amendment made within the scope of KVKK, updates were made in Articles 6, 9 and 18. As a result of the amendments, it has been observed that the requirements of the KVKK have been brought a little closer to the GDPR, and with these amendments, it is aimed to eliminate the remaining question marks in the minds of Data Controllers and to provide flexibility in terms of special categories of personal data processing conditions and data transfer abroad. The relevant amendments are as follows:

Article 6: Processing Sensitive Personal Data

According to the previous regulation, processing of sensitive personal data was generally prohibited, with limited exceptions. For instance, processing such data was only possible if specific conditions, such as explicit consent of the data subject or situations provided for by law, were met. However, with the amendment, the prohibition on processing has become more flexible. Within this scope, it has become possible for individuals other than authorized institutions or persons bound by confidentiality obligations, who will process health and data related to sexual life solely for the purposes specified in Article 6(3), to process such data without requiring explicit consent.

Now, explicit consent of the data subject, along with situations prescribed by law, as well as special circumstances such as the protection of life or bodily integrity of individuals where consent cannot be obtained, also enable the processing of such data. Furthermore, processing is permitted for certain purposes such as the provision of healthcare services or fulfilling specific legal obligations.

This change provides more flexibility in processing special categories of personal data and allows them to be processed in certain circumstances. This can potentially lead to a more efficient data processing process, especially in sensitive areas such as healthcare services. However, it also ensures that adequate measures determined by the Authority are taken, keeping data processing processes under control and ensuring data security.

According to this legislative amendment, among the cases where special categories of personal data can be processed without explicit consent, include "the necessity for the fulfilment of legal obligations in the field of employment, occupational health, social security, and social services; provided that they comply with the legislation and objectives they are subject to, are limited to their scope of activities, and are not disclosed to third parties; and targeting existing or former members and affiliates or individuals who regularly contact these organizations and formations."

Previous Article 6

Conditions for processing sensitive personal data

ARTICLE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Article 6 After Amendment

Conditions for processing sensitive personal data

Article 6 - (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.

(3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Important ! The processing of sensitive personal data is subject to certain conditions. Explicit consent is required for the processing of data relating to health and sexual life. However, this rule may be deviated from in certain circumstances such as the protection of public health and the provision of medical services. According to the current regulation, health data can only be processed by certain institutions, but it is stated that there is a need for this data in other sectors. The amendment updates the conditions for the processing of sensitive personal data. Article 2 of the Law states that the processing of special categories of data is generally prohibited, but Article 2 has been abrogated by emphasizing that this prohibition may be waived in certain circumstances.

Article 9: Transfer of Personal Data Abroad

According to the previous article, while regulating the transfer of personal data abroad, it was stated that such transfer could not take place without explicit consent. However, with the new regulation, data controllers and processors will be able to transfer personal data abroad if an adequacy decision is obtained. The adequacy decision will be granted by the Authority and will be evaluated at specific intervals. When making the adequacy decision, factors such as the relationship between the country or organization to which the data will be transferred and Turkey, relevant legislation and practices, the existence of a data protection authority, and membership status in international agreements will be considered.

In cases where an adequacy decision cannot be obtained, it is stated that data transfer can still take place if appropriate safeguards are provided and certain conditions are met. Additionally, it is indicated that this regulation will not apply to public institutions and organizations in the conduct of their activities subject to public law (provided that the data processing requirement is explicitly stipulated in the laws).

Under the previous Article 9 of the KVKK, explicit consent of the data subject or a written decision by the KVKK Commission stating that the country to which the data will be transferred provides adequate protection was required for the transfer of personal data abroad. However, this regulation has led to practical problems.

Due to Turkey not issuing adequacy decisions for any country, difficulties have arisen in the process of transferring personal data abroad. In the current system, transferring personal data from Turkey to foreign countries is possible only if data controllers in Turkey and the relevant country provide written assurances that they will provide adequate protection and obtain permission from the KVKK Commission, apart from obtaining individual explicit consent from the data subjects.

With the new KVKK amendment, the transfer of personal data abroad has been re-regulated in compliance with the GDPR of the European Union. The aim of these changes is to support commercial activities and investments and to meet the increasing needs with digitization. By foreseeing new methods, data transfer has been facilitated while ensuring the protection of the rights of data subjects.

Previous Article 9

Transfer of personal data abroad

ARTICLE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen
e) Önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

Article 9 After Amendment

Transfer of personal data abroad

ARTICLE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

(3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:

a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.

(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.

(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

Article 18: Administrative Fines

The amendment to this article represents a more deterrent approach by increasing the amount of the penalty for breach of the notification obligation regarding the transfer of personal data abroad. Failure to fulfill the notification obligation may pose a significant risk to the protection and security of personal data. Therefore, by penalizing such breaches, data controllers are encouraged to fulfill their notification obligations more carefully and rigorously. This amendment may contribute to more effective enforcement of personal data protection legislation and better protection of personal data.

1. Administrative Fine Amendment to Article 18

With the amendment on Misdemeanors, the KVKK introduced a new regulation for the transfer of personal data abroad. In this new amendment, the most common form of transfer is the transfer based on standard contracts. In the new amendment, the principle of controlled freedom has replaced the old prohibition and the central element of this change is standard contracts. Therefore, a special notification obligation has been introduced in relation to standard contracts and the sanction for this notification obligation has also been determined.

With the 5th paragraph added to Article 9 of the KVKK, it has been made obligatory to notify the KVKK Authority within five business days following the signing of the standard contract. Those who fail to fulfill the notification obligation will be imposed an administrative fine between 50,000 TL and 1,000,000 TL. It is also stated that data processors must also comply with this obligation. The amendment to Article 18 of the KVKK also includes not only data controllers but also data processors as the addressee of administrative fines. These amendments aim to more clearly define the responsibilities and sanctions in the process of transferring personal data abroad.

2. Amendment to Article 18 on Jurisdiction

An important amendment within the scope of the KVKK Law Reform is the opening of a judicial remedy against the decisions of the KVKK Commission. With the third paragraph added to Article 18 of the KVKK, the provision "Administrative fines imposed by the Commission may be challenged before administrative courts." With this amendment, the decisions of the KVKK Commission are now subject to review by the administrative courts.

In the previous practice, there was a two-stage review against the decisions of the KVKK Commission. The administrative fines imposed by the KVKK Commission were appealed to the criminal judgeship of peace, and the other parts of the decisions other than administrative fines were appealed to the administrative judiciary. However, this practice reduced the effectiveness of the review of the decisions of the KVKK Commission.

The main problem with the criminal judgeship of peace was that it reduced legal certainty. This practice prevented the development of case law on the implementation of the KVKK. With the amendments, a more effective method for the review of the decisions of the KVKK Commission has been established and legal certainty has been increased. These amendments aim to create a safer system for individuals.

Previous Article 18

Misdemeanors

ARTICLE 18 - (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15'nci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Article 18 After Amendment

Misdemeanors

ARTICLE 18 (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

(2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.

(4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

Summary of the 2024 KVKK Amendments

The amendments to the KVKK for 2024 are summarized as follows:

1. The conditions for processing special categories of personal data have been expanded.
2. A new and alternative regime has been established for the transfer of personal data abroad.
3. Explicit consent is no longer a general reason for transferring personal data abroad; it has been made exceptional. A special transition period is envisaged for transfers based on explicit consent.
4. The principle that data processors are liable for administrative fines together with data controllers for the transfer of personal data abroad has been accepted.
5. A single judicial remedy - the administrative judicial remedy - has been determined against all the actions of the KVKK Commission.
6. A new misdemeanor has been introduced regarding the transfer of personal data abroad (failure to notify the KVKK Commission of standard contracts within 5 business days).

The amendment to the KVKK is expected to enter into force on June 1, 2024. As of this date, Data Controllers will be required to review their activities within the scope of compliance with the KVKK, make the necessary updates in their disclosure and explicit consent texts, and prepare and submit to the KVKK Commission standard agreements regarding overseas transfers. Until September 2024, it is allowed to continue to transfer personal data abroad based on explicit consent.

Recommendations for Institutions and Organizations

In line with the amended articles, existing personal data inventories and processes should be reviewed.

• Since the amended articles are related to the processing conditions of special categories of personal data and transfer abroad, the clarification and explicit consent texts should be updated accordingly.
• If the changes made in the personal data inventory affect VERBİS registration, VERBİS should be updated.
• Institutions and Organizations that transfer data abroad can transfer data abroad if they declare their transfer activities to the Personal Data Protection Commission and if the Commission decides on adequacy. Otherwise, explicit consent will be required for each transfer activity.