Anasayfa Makaleler 8. Yargı Paketi ile Kişisel Verilerin Korunması Kanununda Yapılan Değişiklikler
8. Yargı Paketi ile Kişisel Verilerin Korunması Kanununda Yapılan Değişiklikler



8. Yargı Paketi ile Kişisel Verilerin Korunması Kanununda Yapılan Değişiklikler

Kamuoyunda “8. Yargı Paketi” olarak bilinen, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Kanun”) 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanmıştır.

Kanun ile, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (“KVKK”) Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) daha uyumlu bir hale getirilmesi amaçlanmıştır.

Yazar: Av. Nilgün Gonca Deveci, Stj. Av. Doğukan Menderes

Tarih: 05.04.2024


Kanun ile KVKK’nın 6, 9 ve 18. maddesinde yapılan değişiklikler ile özel nitelikli kişisel verilerin işlenmesi ve yurt dışına veri aktarımı konuları açısından önemli yenilikler eklenmiştir.

  1. Özel nitelikli verilerin işlenmesi kapsamında yapılan değişiklikler

Değişiklik ile özel nitelikli verilerin işlenme şartları genişletilmiştir. KVKK'da mevcut hüküm, özel nitelikli kişisel verilerin işlenmesini, ilgili kişinin açık rızası ve kanunlar tarafından öngörülen hallerle sınırlamaktadır. Değişiklikle birlikte, özel nitelikli kişisel verilerin istisna olarak işlenmesinin mümkün olduğu durumlar genişletilmiştir:

 

Değişiklik Öncesi

Değişiklik Sonrası

MADDE 6- Özel nitelikli kişisel verilerin işlenme şartları

 

 (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

MADDE 6- Özel nitelikli kişisel verilerin işlenme şartları

 

(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

 

(2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

 a) İlgili kişinin açık rızasının olması.

 b) Kanunlarda açıkça öngörülmesi,

 c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

 ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

 d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

 e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veya bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

 

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

 

 

(3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

 

Bu kapsamda, özel nitelikli kişisel veriler içerisindeki sağlık ve cinsel hayat ayrımı kaldırılmış ve tüm özel nitelikli kişisel verilerin işlenme şartları genişletilmiştir.

  1. Kişisel verilerin yurtdışına aktarılması kapsamında yapılan değişiklikler

KVKK’nın kişisel verilerin yurt dışına aktarılmasına ilişkin mevcut 9. maddesi uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamamaktadır. Bu kuralın istisnası ise, ancak (i) aktarılacak ülkede yeterli korumanın bulunması, veya (ii) Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması olarak düzenlenmiştir.

Bu istisnalar ise KVKK’nın yürürlüğe girmesinden itibaren tartışmalara sebep olmuştur. Nitekim, yeterli koruma sağlanan ülkelerin Kurul tarafından hiç açıklanmamıştır. Dolayısıyla mevcut KVKK uyarınca, ancak ilgili kişinin açık rızası olması veya yeterli koruma taahhüdü başvurusu ile Kurul’dan izin alınması halinde kişisel veriler yurt dışına aktarılabilmektedir.

Değişiklik kapsamında ise kişisel verilerin yurtdışına aktarımında kural olarak açık rıza alınmasını öngören yaklaşım bırakılmış ve belirli şartların varlığı halinde kişisel verilerin yurt dışına aktarılması mümkün kılınmıştır.

Bu kapsamda, kişisel verilerin yurt dışına aktarılması için;

  1. KVKK 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ve

  2. Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması,

şartlarının birlikte mevcut olduğu hallerde kişisel veriler yurt dışına aktarılabilecektir.

Değişiklikler ile birlikte, yukarıda sayılan ön koşulların varlığı ve bunlara ek olarak aşağıdaki hallerin varlığı halinde ilgili kişinin açık rızası olmaksızın kişisel veriler yurt dışına aktarılabilecektir:

  1. Yeterlilik Kararının Bulunması

Değişiklik sonrasında da yeterlilik kararına dayalı aktarım korunmuş ülkeler, uluslararası kuruluşlar veya ülke içerisindeki sektörler hakkında yeterlilik kararı verilmesine imkan tanınmıştır.

  • Kişisel verilerin yurtdışına aktarılmasında veri sorumluları ile birlikte veri işleyenler de sayılmıştır.

  • Yeterlilik kararı mevcut halinde de olduğu gibi Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) tarafından verilecektir.

  • Yeterlilik Kararı en geç dört yılda bir değerlendirilecektir. Değerlendirme sonrasında KVK Kurulu kararını ileriye etkili olarak değiştirme, askıya alma veya kaldırma yetkisine sahiptir. Kararın değerlendirilmeye alınmadığı takdirde yeterlilik kararı geçerliliğini korunmaya devam edecektir.

  • Yeterlilik Kararı verilirken öncelikle dikkat edilecek hususlar eklenmiştir. Bunlar;

    1. Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu,

    2. Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar,

    3. Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması,

    4. Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu,

    5. Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu,

    6. Türkiye’nin taraf olduğu uluslararası sözleşmelerdir.

 

  1. Yeterli Önlemlerin Alınması (Uygun Güvenceler)

Aşağıda ayrıntılı bahsedilmiş koşulların varlığı ve KVK Kurulu tarafından yurt dışına veri aktarımına izin verilmesi halinde uygun güvencelere dayalı olarak yurt dışına veri aktarılmasına imkan tanınmıştır.

  • Uygun güvencelere dayalı aktarım için her koşulda aranacak üç ön koşul mevcuttur. Ön koşulların varlığının belirlenmesi konusunda ispat ve hesap verme yükümlülüğü, aktarım kararını veren veri sorumlusu ve veri işleyendedir. Aranan koşullar;

    1. KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı,

    2. ilgili kişi haklarının aktarımın yapılacağı ülkede de kullanılabilmesi mümkün olması,

    3. aktarımın yapılacağı ülkede kişisel verilerin korunmasına ilişkin etkili kanun yollarına başvurma imkânı bulunmasıdır.

  • Yurt dışında bulunan kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi durumlarında yurt dışına veri aktarımına imkan tanınmıştır.

  • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve KVK Kurulu tarafından onaylanan bağlayıcı şirket kurallarının varlığı durumunda kişisel verilerin yurt dışına aktarılmasına imkan tanınmıştır.

  • KVK Kurulu tarafından belirlenen kıstasları sağlayan standart sözleşmelerin kullanılarak kişisel verilerin yurt dışına aktarılmasına imkan tanınmıştır. Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından KVK Kurumuna bildirilmelidir.

  • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve KVK Kurulu izni ile yurt dışına veri aktarımına imkanı korunmuştur.

 

  1. Arızi Nedenlerle Yurt Dışına Aktarım

Değişiklik sonrasında ilk defa yeterlilik kararı veya uygun güvencelerin sağlanamadığı takdirde de aşağıdaki koşullardan herhangi birinin varlığı halinde yurtdışına veri aktarımı mümkün kılınmıştır.

    1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi,

    2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,

    3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,

    4. Aktarımın üstün bir kamu yararı için zorunlu olması,

    5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,

    6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması, veya

    7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Yukarıda (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerine uygulanamamaktadır.

Maddenin yeni hali ile, veri sorumlusu ve veri işleyenlere özel yükümlülükler getirilmiştir. Bu kapsamda yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından bu KVKK da yer alan güvenceler sağlanacak ve KVKK madde 9 hükümleri uygulanacaktır.

Son olarak, Türkiye’nin veya ilgili kişilerin menfaatinin ciddi bir şekilde zarar görebileceği durumlarda, KVK Kurulu izniyle yurt dışına veri aktarılabileceğine dair hüküm muhafaza edilmiştir.

Yapılan değişikliklerin gerekçesinde; maddenin önceki halinin, ticari hayatta sıkça kullanılan ve sunucuları yurt dışında bulunan, çoğunlukla bulut tabanlı yazılımların ve uygulamaların hukuka uygun bir şekilde kullanılmasını neredeyse imkansız hale getirdiği ve Türkiye'deki yatırımları engelleyici bir etkiye sahip olduğu belirtilmiştir.

  1. Kabahatlere (yaptırımlara) ilişkin değişiklikler

Değişiklik ile Kişisel verilerin yurtdışına aktarılmasına ilişkin KVKK’nın 18. maddesinin 1. fıkrasında düzenlenen kabahatlere yeni bir bent eklenerek KVKK m. 9’da sayılan bildirim yükümlülüğünün yerine getirilmemesi halinde de idari para cezası uygulanacağına ilişkin yeni bir kabahat düzenlenmiştir.

Bu kapsamda, yurt dışına veri aktarımında kullanılacak standart sözleşmeler 5 iş günü içinde Kurul’a bildirilmelidir. Aksi halde veri sorumlusu veya veri işleyene idari para cezası düzenlenebileceği öngörülmüştür. Maddenin mevcut halinde idari para cezalarının yükümlüleri veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileriyken değişiklik uyarınca veri işleyen gerçek kişiler de idari para cezalarının yükümlüsü kabul edilmiştir.

  1. Yargı yoluna dair değişiklikler

Değişiklikler kapsamında gerçekleştirilen bir diğer önemli husus ise KVK Kurulu kararlarına karşı yargı yolu hususudur.

 KVKK’nın 18. maddesine eklenen üçüncü fıkrayla “Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.” hükmü getirilmiştir. Kurulca verilen idari para cezalarının mahiyeti göz önünde bulundurularak, bu kararların idari yargı mercilerince denetlenmesi sağlanmıştır.

Ancak 01/06/2024 tarihi itibariyle sulh ceza hakimlerinde görülmekte olan başvurular, bu hakimliklerce görülmeye devam olacaktır.

  1. Yürürlük tarihi

Yukarıdaki maddelerin yürürlüğe girişi açısından, iki aşamalı bir geçiş öngörülmektedir.

Yeni düzenlemeler genel olarak, 01/06/2024 tarihinde yürürlüğe girecektir.

Öte yandan; kanunun değişmeden önceki halinin 9. maddesinin 1. fıkrası da, 01/09/2024’e kadar uygulanacaktır. Dolayısıyla, 01/09/2024 tarihine kadar, ilgili kişinin açık rızası alınmış olmak kaydıyla kişisel veriler yurt dışına aktarılabilecektir. Bu tarihten sonra ise, ilgili kişinin açık rızasının yanında, muhtemel riskler hakkında bilgilendirilmiş olması da aranacaktır.

SONUÇ:

12.03.2024 tarihli ve 32487 sayılı Resmi Gazete’de yayınlanan değişiklik ile KVKK’da da değişiklikler gerçekleştirilmiş ve büyük ölçüde GDPR ile uyumlu hale getirilmiştir. Bu doğrultuda özel nitelikli kişisel verilerin işlenme şartları, kişisel verilerin yurt dışına aktarılması, idari para cezaları ve yargı yoluna dair değişiklikler yapılmıştır.


Yukarıdaki metin bilgilendirme amaçlı olup, hukuki tavsiye niteliğinde değildir.