2024-15 / KVKK’da Önemli Değişiklikler Var! Verileriniz İşleniyor!
KİŞİSEL VERİLERİN KORUNMASI KANUNU'NDA DEĞİŞİKLİK YAPAN 7499 SAYILI KANUN HAKKINDA KISA BİLGİ NOTU
8’nci Yargı Paketi içerisinde yer alan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (“
Kanun Teklifi”), Kişisel Verilerin Korunması Kanunu’nda (“
Kanun”) da bazı önemli değişiklikler getirmektedir.
Kanun Teklifi, 21 Şubat 2024 tarihinde Türkiye Büyük Millet Meclisi
Adalet Komisyonunda kabul edilmiş ve sonrasında
Genel Kurul’da görüşülmüş ve Cumhurbaşkanı’nın onayı sonrasında 12 Mart 2024 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.
(*Kanun yapma tekniği açısından merak edenler ve ihtiyaç duyanlar için Teklif metni ve gerekçesi, Komisyon’da yapılan redaksiyon ve değişiklikler için Komisyon Raporu ve Genel Kurul’da yapılan revizeler için Genel Kurul tutanaklarını da linkleri içinde bulabilirsiniz.)
Uygulamada yaşanan bazı sıkıntıların rahatlatılması öngörülen söz konusu değişiklikler sonucu Kanun’un Avrupa Birliği’nde geçerli olan AB Genel Veri Koruma Tüzüğü (“AGVKT”) ile biraz daha uyumlu hale gelmesi beklenmektedir.
Kanun ile öngörülen değişiklikler, (i) özel nitelikteki verilerin işlenme şartları, (ii) kişisel verilerin yurt dışına aktarım şartları ve (iii) idari yaptırımlar ve idari yaptırımlara karşı başvuru yolu hususlarına ilişkindir.
(i) Özel nitelikteki verilerin işlenmesine ilişkin değişiklikler
Kanun’un mevcut halinde yer alan sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler için öngörülen özel düzenleme bu Kanun değişikliği ile kaldırılmış olup, tüm özel nitelikli kişisel veriler için aynı şartlar öngörülmüştür.
Kanuni düzenleme ile özel nitelikli kişisel verilerin hukuki işlenme şartları genişletilmektedir. Buna göre, halihazırda bulunan 3 işleme şartı muhafaza edilmiş, AGVKT’ne paralel şekilde bunlara ilave olarak 5 işleme şartı daha öngörülmüştür. Yeni getirilen işleme şartlarından özellikle “istihdam, iş ve sosyal güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması” şartı önemlidir. Buna göre işveren, sağlık verileri dahil olmak üzere işçisine ait özel nitelikli kişisel verilerini istihdam, iş sağlığı ve güvenliği ve sosyal güvenlik yükümlülüklerinin varlığı halinde açık rıza almasına gerek olmaksızın işleyebilecektir.
(ii) Kişisel verilerin yurtdışına aktarılmasına ilişkin değişiklikler
Kanun’un mevcut hali, kişisel verilerin yurt dışına aktarılması bakımından açık rıza merkezli bir yaklaşım öngörmektedir. Kanun Teklifi ile açık rıza yurtdışına aktarım için genel bir sebep olmaktan çıkartılacak olup istisnai bir hale gelecektir.
Kanun kapsamında yurtdışı aktarım yapılabilmesi için, Kanun’da belirtilen veri işleme şartlarından birinin bulunması (madde 5 ve 6) kaydıyla, aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması ön koşul olarak belirlenmiştir. Mevcut hükümden farklı olarak ilgili yabancı ülkenin tamamı yerine, o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilebilmesine imkân tanınmaktadır.
Yeterlilik kararının bulunmaması halinde ise, Kanun’da belirtilen veri işleme şartlarından birinin bulunması (madde 5 ve 6) ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, yurt dışına aktarım için Kanunda öngörülen uygun güvencelerden birinin sağlanması gereklidir. Taahhütname verilmesi ve Kişisel Verileri Koruma Kurulu (“Kurul) tarafından aktarıma izin verilmesi, bağlayıcı şirket kurallarının varlığı, standart sözleşme imzalanması vb. uygun güvenceler arasında sayılmaktadır.
Yeterlilik kararının bulunmaması ve uygun güvence sağlanamaması halinde süreklilik arz eden yurt dışı veri aktarını mümkün olmayacaktır. Süreklilik arz etmeyecek arızi şekilde yurtdışı veri aktarımı ise ancak, ilgili kişi ile veri sorumlusu arasında bir sözleşmenin ifası veya üstün bir kamu yararı için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için aktarımın zorunlu olması, ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi koşuluyla aktarıma açık rıza vermesi hali gibi durumlardan birinin varlığı halinde mümkündür.
Kanun ile getirilecek olan yeni düzenlemede göze çarpan hususlardan birisi, veri sorumlularının yanında veri işleyenlerin de kişisel verileri yurt dışına aktarabileceğidir. Kişisel verilerin yurt dışına aktarılmasına dair Kanun ile öngörülen maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenecektir.
Kanun’da yer alan mevcut hüküm 1 Eylül 2024 tarihine kadar uygulanmaya devam olunacaktır.
(iii) İdari yaptırımlar ve idari yaptırımlara karşı başvuru yolu
Yukarıda yurtdışı veri aktarımı konusunda değinilen uygun güvenceler arasında yer alan standart sözleşmeler veri sorumluları ve veri işleyenler tarafından imzalandıktan sonra 5 iş günü içerisinde Kişisel Verileri Koruma Kurumu’na bildirilmelidir. Buna aykırı hareket eden veri sorumlusu veya veri işleyen hakkında 50.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanabilecektir.
Kanun’un mevcut hali uyarınca Kurul’un idari para cezası kararlarına karşı başvurulacak merci sulh ceza mahkemeleridir. Kanun bu haliyle başvuru mercini değiştirmektedir; buna göre Kurul’un idari para cezalarına karşı idare mahkemelerinde dava açılabilecektir.
Söz konusu düzenleme 1 Haziran 2024 tarihinde yürürlüğe girecektir. Anılan tarih itibariyle sulh ceza mahkemelerinde görülmekte olan başvurular, bu mahkemelerde görülmeye devam edecektir.
Sevgi & Saygılarımızla,
Taxademy
PDF İndir