12.03.2024 tarihli 32487 sayılı Resmi Gazete’de 7499 Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Kanun”) yayımlanmış ve söz konusu Kanun ile Ceza Muhakemesi Kanunu, İcra İflas Kanunu gibi kanunların yanı sıra ayrıca Kişisel Verilerin Korunması Kanunu’nda da değişiklikler gerçekleştirilmiştir. İşbu bilgi notu ile Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yapılan değişikliklere ilişkin bilgi verilmesi amaçlanmaktadır.
Kanun ile KVKK nezdinde temel olarak 3 ana konuda değişiklik gerçekleştirilmiştir. Kanun ile getirilen değişiklikler ile özel nitelikli kişisel verilerin işlenmesine ilişkin kural ve istisnalar tekrar düzenlenmiş, yurtdışına veri aktarımı koşulları tekrar düzenlenmiş ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen kararlara karşı başvurulabilecek hukuki yollara ilişkin değişiklikler yapılmıştır.
I- Özel Nitelikli Kişisel Verilere İlişkin Düzenlemeler
Kanun’un 33. maddesi ile KVKK’nın 6. maddesinin ikinci fıkrasında düzenlenen, açık rıza olmaksızın kişisel verilerin işlenemeyeceğine ve özel nitelikli kişisel verilerden sağlık ve cinsel hayat verilerinin işlenmesine ilişkin istisnalar değiştirilmiştir. Maddenin eski hali ile sağlık ve cinsel hayat verilerinin ancak kamu sağlığının korunması için gerekli olması ve tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi istisnalar kapsamında açık rıza olmaksızın işlenebilmektedir. Maddede yapılan değişiklik ile özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesine ilişkin istisnai düzenlemeler değiştirilmiş ve genişletilmiş.
Bu anlamda, maddenin yeni hali ile özel nitelikli kişisel verilerin işlenmesi temel kural olarak yasak kabul edilmiş, ancak veri sahibinin açık rızanın bulunması veya diğer istisnai durumlardan birinin varlığı halinde özel nitelikli kişisel verilerin işlenebileceği düzenlenmiştir. Getirilen istisnalar incelendiğinde, özel nitelikli kişisel verilerin işlenmesinin istisnaları, normal kişisel verilerin işlenmesi için getirilen istisnalardan (i) sözleşmenin kurulması ve ifası ile doğrudan doğruya bağlantılı olunması ve (ii) veri sahibinin meşru menfaati haricinde bulunan tüm istisnalar geçerli olacak şekilde genişletilmiştir. Bunlara ek olarak KVKK’nın eski halinde özel nitelikle veriler yönünden mevcut olan istisnai durumlar da korunmuştur. Bu kapsamda, özel nitelikli kişisel veriler,
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
durumlarından birinin varlığı halinde, veri sahibinin açık rızası bulunmaksızın da işlenebilecektir.
II- Kişisel Verilerin Yurtdışına Aktarımına İlişkin Düzenlemeler
Kanun’un 34. maddesiyle KVKK’nın kişisel verilerin yurtdışına aktarımını düzenleyen maddesinde değişiklik gerçekleştirilmiştir. KVKK’nın mevcut hali ile kişisel verinin yurtdışına aktarımı için açık rıza aranmakta iken yapılan değişiklik ile açık rıza bulunmaksızın da belli şartların sağlanması halinde kişisel verilerin yurtdışına aktarılabileceği hususu düzenlenmiştir.
Yapılan değişikliler akabinde, kişisel verilerin yurt dışına aktarılabilmesi için 3 farklı senaryo öngörülmüştür. Bu farklı senaryolardan ilki, Kanun’un 5. ve 6. maddesinde yer alan şartlardan birinin varlığı, yani kişisel verinin işlenebilmesi için tanınan istisnalardan birinin varlığı ve aktarımın gerçekleştirileceği ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararının bulunmasıdır. Bu iki şartın birlikte bulunduğu durumlarda kişisel verinin yurtdışına aktarımı mümkün olabilecektir. Bu yeterlilik kararı, Kurul tarafından verilecek olup söz konusu karar Resmi Gazete’de yayımlanacaktır. Verilen bu yeterlilik kararının da en geç 4 yılda bir değerlendirilmesi ön görülmüştür.
Kişisel verilerin yurtdışına aktarımına izin veren ikinci senaryo ise, yeterlilik kararının bulunmaması halinde, yine 5. ve 6. maddelerde düzenlenen şartlardan birinin gerçekleşmiş olması durumunda, ilgili kişinin yani kişisel verisi yurt dışına aktarılacak olan kişinin aktarımın gerçekleştirileceği ülkede, haklarını kullanma ve etkili kanun yoluna başvurma imkanı bulunması ve aşağıda sayılan güvencelerin sağlanabildiği durumlar olarak düzenlenmiştir.
Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı (böyle bir sözleşmenin varlığı halinde Kişisel Verileri Koruma Kurumu’na imzadan itibaren 5 gün içerisinde bilgi verilmelidir).
Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Dolayısıyla yurtdışına veri aktarılması için tarafların uygun güvencelerden birini (taahhütname, bağlayıcı şirket kuralları (BCR), standart sözleşme hükümleri (SCC), uluslararası sözleşme niteliğinde olmayan sözleşmeler, yurt dışı ve Türkiye’deki kamu kurum, kuruluş, meslek kuruluşları ve uluslararası kuruluşlar arasında imzalanacak olan sözleşmeler) sağlaması gerektiği öngörülmüştür. Aksi takdirde süreklilik arz eden yurt dışına veri aktarımları gerçekleştirilemeyecektir.
Kişisel verilerin yurtdışına aktarımına imkan sağlayacak üçüncü senaryo ise şu şekildedir. Yeterlilik kararının bulunmaması veyahut yukarıda sayılan güvencelerin hiçbirinin sağlanmaması halinde, veri sorumluları ve veri işleyenler aşağıda sayılan hallerden birinin varlığı halinde geçici olarak verileri yurt dışına aktarabilecektir.
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
Aktarımın üstün bir kamu yararı için zorunlu olması.
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Kişisel verilerin yurtdışına aktarılmasına ilişkin ayrıca yönetmelik çıkarılacağı ve usul ve esasların bu yönetmelik ile düzenleneceği maddede ayrıca belirtilmiştir. Dolayısıyla bu konudaki yeni uygulamanın tüm detaylarının tespit edilebilmesi için bahsi geçen yönetmeliğin yayımlanması beklenmelidir.
Bu anlamda ayrıca önemle altı çizilmelidir ki; uygulamada kullanılan kişisel verilerin korunması taahhütnamelerinin yerini “Standart Sözleşmeler” almış durumdadır. Yapılan değişikliler ile yurtdışına veri aktarımının veri işleyen tarafından yerine getirileceği düzenlenmiş olup bu anlamda standart sözleşmelerin Kurum’a bildirilmesi hususu da veri işleyen veya veri sorumlusu tarafından gerçekleştirilebilecektir. Standart sözleşmelerin imza tarihinden itibaren 5 gün içerisinde Kurum’a bildirilmemesi durumu idari para cezasını gerektiren bir durum olarak düzenlenmiş olup bildirim yükümlülüğünün yerine getirilmemesi halinde 50.00,00 TL’den 1.000.000,00 TL’ye kadar idari para cezası uygulanabilecektir.
III- İdari Para Cezaları ve İdari Para Cezalarına Karşı Alınabilecek Aksiyonlara İlişkin Düzenlemeler
Kanun’un 35. maddesi ile KVKK’nın idari para cezalarını düzenleyen maddesinde değişiklik yapılmıştır. Daha önce var olan idari para cezalarına ek olarak yukarıda da bahsedildiği üzere standart sözleşmelere ilişkin bildirimin yapılmaması da idari para cezasını gerektirir durumlardan biri olarak düzenlenmiştir.
Ayrıca değişiklikle birlikte, Kurul tarafından verilen idari para cezalarına karşı idare mahkemeleri nezdinde karara karşı itiraz etme imkanı da kanun kapsamında yer almıştır. Bu hususa ek olarak yapılan diğer bir önemli değişiklik, aydınlatma yükümlüğünün yerine getirilmemesi, veri güvenliği hükümlerine aykırı davranılması, Kurul tarafından verilen kararların yerine getirilmemesi ve VERBİS kaydı yükümlülüğünün ihlali durumlarında sadece veri sorumluları aleyhine idari para cezası düzenlenebilirken, standart sözleşmelerin bildirilmemesi halinde hem veri işleyen hem de veri sorumlusu aleyhine idari para cezası düzenlenebileceği öngörülmüştür.
Bunun haricinde, KVKK’nın mevcut hali ile Kurul tarafından verilen idari para cezalarına karşı sulh ceza hakimlikleri nezdinde dava ikame edilebilirken başvuru yolu değiştirilmiş ve başvuru mercii idare mahkemeleri olarak belirlenmiştir. Bununla birlikte, yürürlük tarihine kadar sulh ceza hakimlikleri nezdinde görülmeye devam eden dosyalar bu mahkemeler nezdinde görülmeye devam edecektir.
Kanun ile yapılan değişikliklerden yurtdışına aktarıma ilişkin değişiklikler 01.06.2024 tarihinde yürürlüğe girecek olmakla birlikte, Kanun ile KVKK’ya eklenen geçici madde uyarınca değişiklik öncesindeki birinci madde (açık rıza olmaksızın aktarımın gerçekleştirilemeyeceği) 01.09.2024 tarihine kadar yapılan değişiklikler ile birlikte uygulanmaya devam edecektir.
Yapılan değişikliklerin tamamını 01.06.2024 tarihinde yürürlüğe girecektir. Kanun’un tamamına aşağıdaki linkten ulaşabilirsiniz.
Comments