6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) uzun bir süredir beklenen değişiklikler 12 Mart 2024 tarihli Resmi Gazete’de yayımlanmıştır. İlgili değişiklikler 1 Haziran 2024 itibarıyla yürürlüğe girecektir.
Kanun’un uygulanmasında yaşanan sıkıntıları çözüme kavuşturmak amacıyla, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) de göz önünde bulundurularak, özellikle özel nitelikli kişisel verilerin işlenme şartları ile yurt dışına kişisel veri aktarılması şartlarında kapsamlı değişikliklere gidilmiştir. Kanun’da yapılan önemli değişiklikler özetle aşağıdaki şekildedir:
Özel nitelikli kişisel verilerin işlenebileceği haller genişletilmiştir.
Özel nitelikli kişisel veri nedir?
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
Kanun’da yapılan değişiklikle yukarıda yer alan özel nitelikli kişisel veri tanımında herhangi bir değişikliğe gidilmemiş, yalnızca bu tür verilerin işlenme şartları değiştirilmiştir.
Değişiklik öncesindeki durum ve uygulamada yaşanan problemler nelerdi?
Kural olarak özel nitelikli kişisel veriler veri sahibinin açık rızası olmaksızın işlenememekteydi ve bunun istisnaları Kanun’da oldukça sınırlı olarak düzenlenmişti. Bu bakımdan ikili bir ayrım mevcuttu: (i) Sağlık ve cinsel hayata dair kişisel veriler yalnızca sağlık hizmetlerinin yürütülmesi ve kuruluşlar tarafından, (ii) diğer özel nitelikli kişisel veriler ise sadece kanunlarda öngörülen hallerde veri sahibinin açık rızası olmaksızın da işlenebiliyordu.
Bu durum özellikle sağlık verilerinin (örneğin hastalık bilgisi) işlenmesi bakımından uygulamada güçlük yaratıyordu. İşverenler bir yandan iş sağlığı ve güvenliği mevzuatı gereği çalışanlarının sağlık verilerini işlemek zorundayken, diğer yandan bu veriler Kanun gereği işyerinde yalnızca işyeri hekimleri tarafından işlenebiliyordu. İşyeri hekimi olmayan işyerlerinde bu verilerin özlük dosyasında tutulabilmesi için çalışandan açık rıza alınması gerekiyordu. İşverenler bu nedenle kanuni yükümlülüklerini yerine getirebilmek adına çalışanları açık rıza vermeye yönlendirmek durumunda kalıyordu ki bu da açık rızanın “özgür iradeyle” verilmesi ilkesiyle bağdaşmıyordu.
Özel nitelikli kişisel verilerin işlenme şartlarında neler değişti?
Öncelikle özel nitelikli kişisel veri türleri arasındaki yukarıda belirttiğimiz ikili ayrım kaldırılmış ve Kanun’da sınırlı sayıda öngörülen aşağıdaki hallerde bu tür verilerin veri sahibinin açık rızası alınmaksızın işlenebilmesinin önü açılmıştır.
hallerinde özel nitelikli kişisel veriler veri sahibinden açık rıza alınmaksızın işlenebilecektir. Kişisel Verileri Koruma Kurumu’nun (“KVKK”) yerleşik uygulaması göz önünde bulundurularak; yalnızca yukarıda yer alan şartlardan herhangi birinin mevcut olmadığı hallerde veri sahibinin açık rızası alınarak özel nitelikli kişisel verilerin işlenmesi yoluna gidilmelidir.
Kişisel verilerin yurtdışına aktarımı kolaylaştırılmıştır.
Değişiklik öncesindeki durum ve uygulamada yaşanan problemler nelerdi?
Her ne kadar Kanun’da, verilerin işlenmesi için öngörülen hukuki şartların mevcudiyeti halinde yeterli korumanın bulunduğu ülkelere aktarımın veri sahibinin açık rızası alınmaksızın yapılabileceği düzenlenmekteyse de yeterli korumanın bulunduğu ülkeler Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından bu vakte kadar ilan edilmemişti. Bu da yurtdışına veri aktarmak isteyen veri sorumlularını şu iki yöntemden birini seçmek durumunda bırakıyordu: (i) veri sahiplerinin tek tek açık rızasının alınması ve (ii) Türkiye’deki ve veri aktarımının yapılacağı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmesi ve taahhütnameye Kurul’un izninin alınması. Bununla birlikte değişiklik gerekçesinde de belirtildiği üzere bugüne kadar Kurul’a yalnızca seksen civarı başvuru yapılmış olup Kurulca bunlardan çok azına izin verilmiştir. Neticeten uygulamada veri sorumlularının yurtdışına veri aktarabilmek için tek seçeneği veri sahiplerinden açık rıza almak olmuştu.
Kanun’da yapılan değişiklikler ile yurtdışına veri aktarımı şartları kolaylaştırılmıştır. Ayrıca yurtdışına aktarımın usul ve esaslarını düzenleyecek bir yönetmelik çıkartılması öngörülmüştür.
Kişisel verilerin yurtdışına aktarımı şartlarında neler değişti?
Öncelikle Kurul’a yalnızca aktarımın yapılacağı ülke hakkında değil, uluslararası bir kuruluş veya ülke içerisindeki belirli bir sektör özelinde de yeterli korumanın bulunduğuna ilişkin karar verme yetkisi tanınmıştır (yeterlilik kararı). Örneğin Türkiye’deki otomotiv sektörünün yoğun olarak ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine yalnızca o ülkedeki otomotiv sektörü bakımından yeterlilik kararı verilmesi mümkün hale gelmiştir. Kurul vermiş olduğu yeterlilik kararını en geç dört yılda bir yeniden değerlendirecek ve gerekli görmesi halinde kaldırabilecek, askıya alabilecek veya değiştirebilecektir.
Yeterlilik kararının bulunması halinde yurtdışına veri aktarımı
Kanun’un 5. maddesindeki (özel nitelikli kişisel veriler için 6. madde) hukuki işleme şartlarının mevcudiyeti halinde Kurul’un yeterlilik kararı vermiş olduğu ülke, uluslararası kuruluş ve ülke içindeki belirli bir sektöre veri sahibinin açık rızası alınmaksızın kişisel veriler aktarılabilecektir.
Yeterlilik kararı bulunmayan hallerde yurtdışına veri aktarımı
Yeterlilik kararının bulunmadığı hallerde veri sorumluları, aşağıdaki şartların birlikte sağlanması koşuluyla veri sahibinin açık rızası alınmaksızın yurtdışına veri aktarabilecektir.
İstisnai durumlar
Yeterlilik kararı bulunmayıp yukarıda sayılan uygun güvencelerden birinin de sağlanamadığı bazı durumlarda, tek veya birkaç sefere mahsus olmak şartıyla ve süreklilik taşımayacak şekilde yurt dışına veri aktarılabilecektir. Ancak bu türden bir veri aktarımı yalnızca aşağıdaki hallerden birinin varlığında söz konusu olabilecektir:
Mevcut uygulamaya (açık rızaya dayalı yurtdışına veri aktarımı) ne kadar süreyle daha devam edilebilecektir?
1 Eylül 2024 tarihine kadar önceden alınmış veya Kanun değişikliğinden sonra alınacak açık rızaya dayanarak yurtdışına veri aktarılmasına devam edilebilecektir.
İdari para cezasına tabi olan ihlallere bir yenisi eklenmiş ve idari para cezasına karşı itiraz usulünde değişikliğe gidilmiştir.
Kurul tarafından ilan edilen standart sözleşmenin imzalanması suretiyle yurtdışına veri aktarımı yapılan hallerde veri sorumlusu veya veri işleyen tarafından, ayrı bir yükümlülük olarak, standart sözleşmenin imzalanmasından itibaren beş iş günü içinde KVKK’ya bildirilmesi gerekmektedir. Bildirim yükümlülüğünü ihlal eden veri sorumlusu veya veri işleyenler hakkında (2024 yılı için geçerli olmak üzere) 50.000 TL’den 1.000.000 TL’ye kadar idari para cezası uygulanması öngörülmüştür.
Ayrıca Kurulca verilen idari yaptırım kararlarının mahiyeti dikkate alınarak bu kararlara karşı sulh ceza hâkimliğine başvuru yerine idare mahkemeleri nezdinde dava açılması usulü öngörülmüştür. Kanun’a eklenen geçiş hükmü gereği 1 Haziran 2024 tarihi itibarıyla sulh ceza hâkimlikleri önünde bulunan dosyalar, bu hâkimliklerce nihai karara bağlanacaktır.
ORTAK
Müşavvir Enerji / Elektrik Petrol ve Doğal Gaz Madencilik Taşımacılık ve Lojistik Kamu Özel İşbirlikleri ve İmtiyazlar İnşaat ve Altyapı Finansal Hizmetler Projeler ve Proje Finansmanı Bankacılık ve Finans Şirketler ve Ticaret Hukuku Sermaye Piyasası Hukuku Kamu İhale Hukuku Gayrimenkul Hukuku
AVUKAT
Avukat Tüketim Ürünleri Enerji / Elektrik Madencilik Savunma Şirketler ve Ticaret Hukuku Birleşme ve Devralmalar Dava ve Uyuşmazlık Çözümleri
AVUKAT
Stajyer Avukat
Haberdar Olun
Yasal ve mevzuat hakkında güncel bilgilere sahip olmak için abone olun.
ÇAKMAK © 2024 | Tüm hakları saklıdır.