Kişisel Verilerin Korunması Kanunu’nda Değişiklikler
12.03.2024 tarihli, 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Değişiklik Kanunu”) ile Kişisel Verilerin Korunması Kanununda (“Kanun”) özel nitelikli kişisel verilerin işlenmesine, kişisel verilerin yurt dışına aktarılmasına ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından uygulanan idari para cezalarına dair önemli değişiklikler getirilmiştir. Değişiklik Kanunu ile kişisel verilerin korunması mevzuatının Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumluluğu artırılmıştır.
1. Özel Nitelikli Kişisel Verilerin İşlenmesi
Değişiklik Kanunu öncesinde özel nitelikli kişisel verilerin kural olarak açık rızanın varlığı halinde işlenebileceği düzenlenmekteydi. Bununla birlikte, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilmekteydi. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve finansmanın planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişisel veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilmekteydi.
Değişiklik Kanunu ile özel nitelikli kişisel verilerin açık rıza olmaksızın işlenemeyeceğine dair kural ve bunun istisnalarının öngörüldüğü sistem tamamen değiştirilmiştir. Bunun yerine özel nitelikli kişisel verilerin işlenmesine dair istisnaların kapsamı genel veri işleme sebepleri ve GDPR ile paralel olacak şekilde genişletilmiştir. Buna göre, aşağıda sayılan hallerde özel nitelikli kişisel verilerin işlenebileceği düzenlenmiştir:
i. ilgili kişinin açık rızasının olması,
ii. kanunlarda açıkça öngörülmesi,
iii. fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
iv. ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
v. bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
vi. sır saklama yükümlülüğü altında bulunan kişisel veya yetkili kurum ve kuruluşlarca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ve finansmanın planlanması ve yönetimi ve finansmanı amacıyla gerekli olması,
vii. istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
viii. siyasi, felsefi veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
Genel gerekçede ve ilgili madde gerekçesinde ifade edildiği üzere, özel nitelikli kişisel verilerin işlenmesine dair uygulamadaki ihtiyaçlar da göz önünde tutulmuştur. Bu kapsamda, örneğin, iş sözleşmesinin sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması bakımından artık işverenin eski işçisine ait sağlık verilerini saklamaya devam edebilecek olması ya da herhangi bir sebeple bilinç kaybından ötürü rızasını açıklayamayacak durumda olan kişinin hayatının veya beden bütünlüğünün korunması amacına mahsus olarak kan grubu ve geçirilen hastalıklar gibi özel nitelikli kişisel verilerin işlenebilecek olması olumlu gelişmeler olarak değerlendirilmektedir.
2. Kişisel Verilerin Yurt Dışına Aktarılması
Değişiklik Kanunu öncesinde kişisel verilerin kural olarak açık rızanın varlığı halinde yurt dışına aktarılabileceği düzenlenmekteydi. Bununla birlikte, genel veri işleme şartlarından veya sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi şartlarından birinin varlığı halinde kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması, yeterli koruma bulunmuyorsa veri sorumlularının yeterli korumayı taahhüt etmesi ve Kurul’un izni ile ilgili kişinin açık rızası aranmaksızın yurt dışına veri aktarımı yapılabilmekteydi.
Değişiklik Kanunu ile kişisel verilerin açık rıza olmaksızın yurt dışına aktarılamayacağına dair kuralın ve bunun istisnalarının öngörüldüğü sistem tamamen değiştirilmiştir. Bunun yerine, genel veri işleme şartlarından veya özel nitelikli kişisel veri işleme şartlarından birinin varlığı halinde ve aşağıda kademeli olarak açıklanan ek koşullardan biri sağlanarak açık rıza aranmaksızın yurt dışına veri aktarımına izin veren bir düzenleme öngörülmüştür.
i. Buna göre, ilk olarak, veri aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektör hakkında Kurul tarafından yeterlilik kararı verilmiş olması Yeterlilik kararı verilirken karşılıklılık durumu, aktarım yapılacak yerdeki kurallar ve koruma mekanizmaları ile uluslararası sözleşmeler gibi kriterler dikkate alınacaktır.
ii. Kurul tarafından verilen bir yeterlilik kararının bulunmaması durumunda aktarımın yapılacağı ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla taahhüt, bağlayıcı şirket kuralı, standart sözleşme gibi Kanun’da sayılan uygun güvencelerden birinin taraflarca sağlanması gerekecektir.
iii. Son olarak, yeterlilik kararı ve uygun güvencelerin sağlanamaması halinde de arızi olmak kaydıyla aktarım yapılabilecektir. Ancak bu hükmün de sözleşmenin ifası, üstün kamu yararı gibi Kanun’da sayılan bazı zorunlu hallerde bir veya birkaç defa yapılacak olan aktarımlara izin verdiğine dikkat çekmek gerekmektedir.
Genel gerekçede ve ilgili madde gerekçesinde ifade edildiği üzere, kişisel verilerin yurt dışına aktarılmasına dair uygulamada karşılaşılan ihtiyaçlar da göz önünde tutulmuştur. Bu kapsamda, Değişiklik Kanunu öncesinde yeterli koruma taahhüdünün uygulama alanı bulamadığına ve aktarımın açık rızanın alınmasına bağlı hale geldiğine dikkat çekilmiştir. Bu durum, ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği gibi ülkeye yapılacak yatırımları da engelleyici bir hal almıştır. Değişikliklerin bu sorunlara çözüm getirmesi amaçlanmaktadır.
3. Kabahatler
Değişiklik Kanunu öncesinde Kurul tarafından verilen idari para cezalarına karşı sulh ceza hakimliklerine başvurulabilmekteydi. Ne var ki, sulh ceza hakimliklerine yapılan başvuruların önemli bir kısmının iş yükü ve uzmanlık nedenleriyle yeterince incelenmediği görülmekteydi. Yakın tarihli Anayasa Mahkemesi kararında da yetersiz inceleme gerekçesiyle ihlal kararı verilmesi sulh ceza hakimliklerine itiraz yolunun sakıncalarını tekrar gündeme getirmişti. Değişiklik Kanunu ile Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerinde dava açılabileceği düzenlenmiş ve bu sorunun giderilmesi amaçlanmıştır.
Değişiklik Kanunu ile yeni bir kabahat daha düzenlenmiştir. Yukarıda değinildiği üzere, yeterlilik kararı bulunmaması durumunda, etkili başvuru yolları ve uygun güvencelerden birinin varlığı kaydıyla yurt dışına veri aktarımına izin verilmektedir. Uygun güvenceler arasında sayılan standart sözleşme, Kanun’da ilk defa düzenlenmiştir. Standart sözleşme imzalanması halinde beş gün içinde veri sorumlusu veya veri işleyen tarafından Kişisel Verileri Koruma Kurumuna bildirilmesi gerekmektedir. Bu bildirim yükümlülüğünün ihlali halinde veri sorumlusunun veya veri işleyene 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği öngörülmüştür.
4. Yürürlük
Kişisel verilerin yurt dışına aktarılmasına ilişkin değişiklikler, 01.09.2024 tarihinde yürürlüğe girecektir. Böylelikle Değişiklik Kanunu’nun yürürlüğe girmesinden önce alınmış veya sonra alınacak açık rızaya dayalı olarak üç ay daha yurt dışına veri aktarılmasına imkân tanınmaktadır.
Kurul tarafından verilen idari para cezalarına karşı 01.06.2024 tarihi itibarıyla sulh ceza hakimlikleri nezdinde görülmekte olan itiraz başvuruları ise bu hakimliklerce nihai karara bağlanacaktır.
Herhangi bir sorunuz olması halinde bize ulaşabilirsiniz.
Yaşar Law Office
Bize Ulaşın:
Karanfil Sokak, No: 13
Levent, Beşiktaş, İstanbul
Bize Ulaşın:
859. Sokak, No: 4/303
Cumhuriyet Bulvarı, Konak, İzmir