7499 sayılı Kanunla, 6698 sayılı Kişisel Verilerin Korunması Kanununda (“KVKK”) AB Genel Veri Koruma Tüzüğü (“GDPR”) ile uyum sağlanması adına kapsamlı değişiklikler yapılmıştır. Bu kapsamda yapılan değişiklikler üç başlık altında özetlenebilir.
1. Özel Nitelikli Kişisel Verilerin İşlenmesine Yönelik Yapılan Değişiklikler
Özel nitelikli kişisel veriler KVKK m. 6’da “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde tanımlanmış olup bu tanıma ilişkin olarak herhangi bir değişiklik yapılmamıştır.
Bununla birlikte, mevcut durumda var olan özel nitelikli kişisel veri kategorileri arasındaki ayrım kaldırılmıştır. Değişiklikten önceki KVKK m. 6’ya göre, sağlık ve cinsel hayat dışında yer alan özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilmekteydi. Değişiklikle birlikte, tüm özel nitelikli veri kategorileri aynı koşullarda işlenebilmektedir. Bu kapsamda reforme edilen KVKK m. 6 ile birlikte özel nitelikli kişisel verilerin işlenebilmesine ilişkin koşullar genişletilmiş olup bu haller aşağıdaki gibidir:
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
2. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI
KVKK’da yapılan değişiklikle birlikte, kişisel verilerin yurt dışına aktarılmasını düzenleyen KVKK m. 9’da temelden değişiklikler yapılmış ve bu madde GDPR da esas alınarak tamamen yeniden düzenlenmiştir. Yapılan değişiklikle birlikte, kişisel verilerin yurt dışına aktarılması, aşağıdaki şekilde kademeli ve alternatifli bir sistematik üzerine kurulmuştur.
a) Yeterlilik kararına dayalı kişisel veri aktarımı
Kişisel Verileri Koruma Kurumu, yeterli korumanın bulunduğu ülke, uluslararası kuruluş veya sektörleri yayınlanacak ve bu yayınlanan ülke, uluslararası kuruluş ve sektörler kapsamında veri sorumluları ve veri işleyenler yurt dışına kişisel veri aktarımı yapabilecektir. Bununla birlikte, mevcut durumda Kişisel Verileri Koruma Kurumu, herhangi bir ülke için yeterlilik kararı vermemiştir. Böyle bir kararın bulunmadığı hallerde, uygun güvencelere dayalı kişisel veri aktarımı yapılabilecektir.
b) Uygun güvencelere dayalı kişisel veri aktarımı
Yeterlilik kararı bulunmadığı hallerde, KVKK’nın 5. ve 6. maddelerinde belirtilen veri işlemeye ilişkin şartlardan birinin varlığı, ilgili kişinin verilerinin aktarılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması ve uygun güvencelerden birinin sağlanması halinde veri sorumluları ve veri işleyenler tarafından kişisel veriler yurt dışına aktarılabilecektir. Bu uygun güvenceler ise aşağıdaki şekilde sayılmıştır;
i. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi,
ii. Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı,
iii. Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı,
iv. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Bununla birlikte, standart sözleşme maddelerinin, uygun güvence kapsamına dahil edilebilmesi için bu sözleşmenin imzalanmasını takip eden beş iş günü içinde Kurul’a bildirimde bulunulması gerekmektedir. Bu bildirim yükümlülüğünün yerine getirilmemesi halinde Kurul tarafından idari para cezası uygulanacaktır.
c) Arızi durumlara dayalı kişisel veri aktarımı
Yeterlilik kararının bulunmaması ve uygun güvencelerin de sağlanamaması halinde, arızi durumlara dayalı kişisel veri aktarımı mümkündür. Bu haller ise Kanunda aşağıdaki şekilde sayılmıştır:
i. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi,
ii. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
iii. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
iv. Aktarımın üstün bir kamu yararı için zorunlu olması,
v. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
vi. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
vii. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
3. KABAHATLER VE YARGI YOLU
Yukarıda anıldığı üzere, yurt dışına kişisel veri aktarımına ilişkim standart sözleşmelerin, imzalanmasından itibaren 5 iş günü içinde veri sorumlusu veya veri işleyen tarafından Kurul’a bu bildirim yapılmaması halinde KVKK m.18/1-d bendine göre, bu bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği düzenlenmiştir.
Değişiklikten önce, Kurul tarafından verilen idari para cezalarına ilişkin olarak Sulh Ceza Hakimlikleri görevli olup, idari para cezası uygulanması dışındaki yaptırımlara ilişkin ise, idari yargıya başvuru yapılmaktaydı. Değişiklikle birlikte, Kurul tarafından verilen idari para cezaları da dahil olmak üzere tüm kararlara ilişkin olarak idare mahkemelerine başvurulacaktır.
4. SONUÇ
KVKK Reformuyla birlikte hem özel nitelikli kişisel verilerin işlenmesi hem de kişisel verilerin yurt dışına aktarılmasına ilişkin olarak köklü değişiklikler yapılmıştır. Bu değişikliklerle KVKK’nın GDPR ile daha uyumlu bir zemine oturması sağlanmış olup ilgili değişikliklerin özellikle yurt dışına veri aktarımı yapan veri sorumluları ve veri işleyenler için uygulamada mevcut bulunan sorunları hafifletmesi beklenmektedir.
İşbu değişiklikler 1 Haziran 2024 tarihi itibariyle yürürlüğe girecektir.
Bilgilerinize sunarız.
YALÇIN & TOYGAR HUKUK BÜROSU