6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK ve Kanun”) uzun süre boyunca beklenen ve önemli değişiklikler içeren 16 Şubat 2024 tarihinde TBMM’ye sunulan ve kamuoyunda “8. Yargı Paketi” olarak bilinen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi, 2 Mart 2024 tarihinde TBMM genel kurulunda kabul edildi. Bu kapsamda KVKK’nın Özel Nitelikli Kişisel Verilerin İşlenmesi başlıklı 6. maddesi, Kişisel Verilerin Yurt Dışına Aktarılması başlıklı 9.maddesi ve Kabahatler başlıklı 18. maddelerinde yapılması teklif edilen değişiklik önerileri görüşülerek karara bağlanmıştır.
İlgili değişikliklerin yasalaşma süreci ancak Cumhurbaşkanı onayından sonra Resmi Gazetede yayımlanması ile tamamlamış olacaktır.
Kanun Değişikliği ile Avrupa Veri Koruma Tüzüğü (“GDPR”) ile KVKK arasındaki uyumluluk arttırılmış, operasyonlarını uluslararası alanda yürüten veri sorumluları için önem arz eden kişisel verilerin yurt dışına aktarımı gibi hususlarda değişikliğe gidilmiştir.
Bunun yanında özel nitelikli kişisel verilerin işlenme şartları, Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen idari para cezalarına ilişkin itiraz mercii gibi hususlarda da değişikliğe gidilmiştir.
1. Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına İlişkin Değişiklikler
Özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm muhafaza edilmekte iken özel nitelikli kişisel verilerin sadece kişilerin açık rıza vermeleri halinde işlenebilmesine ilişkin düzenleme kaldırılmıştır.
Özel nitelikli kişisel verilerden sağlık ve cinsel hayata ilişkin veri ve diğer özel nitelikli kişisel veri ayrımı kaldırılmıştır. Buna göre, özel nitelikli veriler için belirlenen hukuka uygunluk sebepleri herhangi bir ayrım yapılmaksızın tüm özel nitelikli kişisel veriler için geçerli olacaktır.
Kanun Değişikliği öncesinde, veri sorumluları tarafından Kanun’un 6. maddesinde sayılan özel nitelikli verilerden sağlık ve cinsel hayata ilişkin veriler, dışında olanlar Kanunlarda öngörülmesi veya ilgili kişilerin açık rıza şartına bağlı olarak işlenebiliyordu.
Sağlık ve cinsel hayata ilişkin veriler ise, sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebiliyordu.
Değişiklik ile özel nitelikli kişisel verilerin işlenmesinin mümkün olduğu şartlar aşağıda açıklanacağı üzere açık rıza da dahil edilmek üzere sekiz bent olarak genişletilmek suretiyle tahdidi olarak sıralanmıştır.
Değişiklik ile Kanun’un 5. maddesinde yer alan ve kişisel veri işlemenin genel şartları olarak ilgili kişi tarafından alenileştirme, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması hükümleri de özel nitelikli kişisel veri işlemeler için bir hukuka uygunluk sebebi olarak getirildi.
Bunun yanında ek olarak; İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması hükmü ve siyasi, felsefi , dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kar amacı gütmeyen kuruluş ya da oluşumlar, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut ve eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması hükümleri ile yeni işleme sebepleri yaratılmış oldu.
Özellikle iş hayatında istihdam süreçlerinde işlenen kişisel veriler bakımından yaşanan belirsizlikler açısından GDPR 9(2) (b) maddesinde yer alan “Employment” (“İstihdam”) düzenlemesine paralel yapılan düzenleme ile beraber, işçilik süreçlerinde özel nitelikli kişisel verilerin işlenmesi değişiklik ile Kanun’da yerini aldı.
2. Kişisel Verilerin Yurt Dışına Veri Aktarılması Düzenlemesine İlişkin Değişiklikler
Kanun değişikliğinden önceki halinde, KVKK’nın
9. maddesine göre kişisel verinin yurt dışına aktarılabilmesi için aşağıdaki durumlardan birinin varlığı gerekliydi:
(i) İlgili kişinin açık rızasının bulunması,
(ii) Yeterli korumanın bulunduğu ülkelere kişisel veri aktarımında kişisel veriler ve özel nitelikli kişisel veriler için Kanunda belirtilen ilgili işleme şartlarından birinin mevcut olması,
(iii) Yeterli korumanın bulunmadığı ülkelere kişisel veri aktarımında, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması.
Yapılan değişiklik ile kişisel verilerin yurtdışına aktarımında kural olarak açık rıza alımını öngören düzenleme yaklaşımı bırakılmıştır.
Yurtdışına veri aktarımında (i) yeterlilik kararı, (ii) uygun güvenceler, (iii) arızi haller gibi hukuka uygun aktarım sağlamaya yönelik mekanizmalar veri sorumluları ve veri işleyenler için belirlenmiştir.
KVKK’nın 5. maddesi uyarınca kişisel verilerin işlenme şartı ve 6. maddesi uyarınca özel nitelikli kişisel verilerin işlenme şartlarından birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke işçerisindeki sektörler hakkında Yeterlilik Kararı bulunmasının aranması düzenlenmiştir.
Kurul’un yeterlilik kararı verirken kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu göz önüne alacağı düzenlemelerden biri olarak belirlenmiştir.
Yeterlilik Kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanması halinde yurt dışına aktarılabileceği düzenlenmiştir.
Yeterlilik Kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi (geçici) olmak kaydıyla ilgili maddedeki istisnai hallerden birinin varlığı halinde yurt dışına kişisel veri aktarımı sağlanabilecektir.
Kanun Değişikliği ile beraber, yurtdışına aktarıma ilişkin düzenlemeler genişletilmiş oldu. Buna göre, kişisel veriler, KVKK’nın 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında Yeterlilik Kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir.
Yeterlilik Kararı’nın ise Kurul tarafından öncelikle aşağıdaki hususlar değerlendirilerek verileceği düzenlenmiştir:
a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu,
b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar,
c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması,
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu,
d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu,
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Yeterlilik Kararı bulunmayan durumlarda,kişisel veri ve özel nitelikli kişisel veri işleme şartlarından birinin varlığı, aktarım yapılacak ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması ve Kanun Değişikliğinde sayılan Uygun Güvencelerden birinin varlığı halinde kişisel verilerin aktarılabileceği ve bunun veri sorumluları ve veri işleyenler tarafından yapılabileceği mevzuata eklenmiştir.
Kanun Değişikliği ile ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan Bağlayıcı Şirket Kuralları da Uygun Güvence olarak Kanun’unda yerini almıştır.
Uygun Güvencelerden bir diğeri olarak ise Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı Uygun Güvence olarak eklenmiştir.
Üçüncü bir yöntem olarak ; Yeterli Korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi Uygun Güvence olarak gösterilmiştir.
Dördüncü olarak ise, kamu kuruluşu olan veri sorumluları için bir metod öngörülmüştür. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi hallerinde de Uygun Güvence olarak nitelendirilmiştir.
Kanun değişikliği ile veri sorumluları ve veri işleyenler, Yeterlilik Kararının bulunmaması ve Uygun Güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi,
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
ç) Aktarımın üstün bir kamu yararı için zorunlu olması,
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Kanun Değişikliği ile yurtdışına aktarıma ilişkin usul ve esasların yönetmelik ile ayrıca düzenleneceği belirtilmiştir.
3. İdari Yargı Yoluna İlişki Düzenlemeler
Kanun Değişikliği ile Kurul tarafından verilen idari para cezalarında sulh ceza hakimliklerine itiraz ve başvuru yerine idare mahkemelerine dava açılması düzenlenmiştir. İlgili düzenleme 1/6/2024 tarihi itibarı ile yürürlüğe girecektir.
Buna göre, 1/6/2024 tarihi itibarıyla sulh ceza hakimlikleri önünde görülen başvurular bu hakimliklerce görülmeye devam olunur.
4. Yürürlük , Bildirim Yükümlülüğü ve İdari Para Cezasına İlişkin Düzenlemeler
- Yapılması öngörülen değişikliklerin 01.06.2024 tarihinde yürürlüğe gireceği düzenlenmiştir.
- Kanun Değişikliğinin yürürlüğe girmesinden önce alınmış veya sonra alınacak açık rızaya dayalı olarak Kanun Değişikliğinin yürürlüğe girmesinden itibaren üç ay daha 01.09.2024 tarihine kadar yurt dışına veri aktarılmasına imkân tanınmıştır.
- Veri sorumluları veya veri işleyenlere, imzaladıkları Standart Sözleşmeyi beş iş günü içerisinde Kurum’a bildirmekle yükümlülüğü getirilmiştir.
- Yurtdışına veri aktarımı için uygun güvenceler altında sıralanan standart sözleşmelerin imzalanması halinde veri işleyen veya veri sorumlusu tarafından 5 iş günü içerisinde Kurum’a bildirim yükümlülüğü getirilmiştir.
- Standard sözleşmeleri bildirim yükümlülüğünün yerine getirilmemesi durumunda ise 50.000 TL ile 1.000.000 TL arasında idari para cezası uygulanmasının öngörülmüştür.
Kanun Değişikliğinin tam metnine aşağıda yer alan linkten ulaşabilirsiniz.
https://cdn.tbmm.gov.tr/KKBSPublicFile/D28/Y2/KanunMetni/48c107c3-a4dc-468e-bcf2-f7c8c24af1b0.htm
