No: 4
Tarih: 12/03/2024
Konu: 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na Getirilen Yenilikler
7499 Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Kanun”), 12 Mart 2024 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.
Kamuoyunda 8. Yargı Paketi olarak anılan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında yapılacak değişikliğe ilişkin düzenlemeler Kanun ile aynen kabul edilmiştir. Genel Veri Koruma Tüzüğü’ne (“GDPR”) uyum sağlanması adına, GDPR madde 45, 46 ve 49 çerçevesinde KVKK’da özel nitelikli kişisel verilerin işlenmesi, yurt dışına veri aktarımı, idari yaptırımlar ve Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarına karşı itiraz yolları açısından önemli yenilikler yürürlüğe girmiştir.
Değişikliğe konu maddeler:
- Madde 6: Özel nitelikli kişisel verilerin işlenme şartları
- Madde 9: Kişisel verilerin yurt dışına aktarım şartları
- Madde 18: Kurul kararlarına karşı başvuru yolu
- Geçici Madde 3: Geçiş hükmü
I. Özel nitelikli kişisel verilerin işlenme şartları (KVKK, md. 6)
Değişiklik öncesi dönemde özel nitelikli kişisel veriler yalnızca açık rıza bulunması veya KVKK’da öngörülmüş hukuki işleme şartlarının mevcudiyeti hâlinde mümkün olup sağlık ve cinsel hayata ilişkin kişisel veriler hukuki işleme sebepleri açısından kapsam dışı bırakılmıştı.
1 Haziran 2024 tarihinden itibaren geçerli olacak olan değişiklik ile özel nitelikli kişisel veriler için hukuki işlenme şartları genişletilmiştir. Sağlık ve cinsel hayata ilişkin kişisel verileri kapsam dışı bırakan düzenleme kaldırılmıştır ve tüm özel nitelikli kişisel veriler bakımından mevcut 3 (üç) hukuki işleme sebebi muhafaza edilerek ek olarak “Kişisel Verileri İşleme Şartları” başlıklı KVKK md. 5’e paralel olarak değiştirilmiştir.
Özel nitelikli kişisel veriler bakımından kabul edilen hukuki işleme sebepleri:
1. Açık rıza
2. Kanunlarda açıkça öngörülme
3. Fiili imkânsızlık
4. Alenileştirme
5. Bir hakkın tesisi, kullanılması veya korunması için zorunluluk
6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleme
7. İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülükler için işleme
8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlara ilişkin özel işleme sebebi
II. Kişisel verilerin yurt dışına aktarım şartları (KVKK, md. 9)
Kişisel verilerin yurt dışına aktarımı bakımından yepyeni bir sistematik getirilmiştir. GDPR’a paralel olarak yeni ve ayrıntılı düzenlemeler öngörülmüş ve yurt dışına kişisel veri aktarımının daha esnek ve işlevsel hale getirilmesi amaçlanmıştır.
Dikkat edilmesi gereken yeniliklerden biri de kişisel verilerin yurt dışına aktarılması süreci bakımından yeni bir süje olarak veri işleyenin eklenmesidir. Yeni düzenleme ile yurt dışına veri aktarılması sürecinin temel süjesi olarak veri sorumluları ile veri işleyenler sayılmıştır. Açık rıza yurtdışına kişisel veri aktarımları bakımından aranan genel bir sebep olmaktan çıkarılmış, veri aktarımı için 3 aşamalı bir sistem öngörülmüştür:
1. Yeterlilik kararına dayalı aktarım: Yeterlilik kararına dayalı aktarım muhafaza edilmiş, temel kuralın yeterlilik kararı olduğu öngörülmüş ve yeterlilik kararına ülkeler dışında uluslararası kuruluşlar ve sektörlerin de konu olmasına imkân tanınmıştır, başka bir deyişle kapsamı genişletilmiştir. Yeterlilik kararına ilişkin esaslar muhafaza edilirken, Kurul tarafından yeterlilik kararı verilmesi sürecinde dikkate alınacak hususlar belirtilmiştir. Yeni düzenleme uyarınca Kurul tarafından verilen yeterlilik kararı Resmî Gazete’de yayımlanması ve Kurul’un 4 (dört) yılda bir yeterlilik kararını değerlendirme zorunluluğunun bulunması hususları hükme bağlanmıştır. Kurul tarafından değerlendirmenin yapılmaması hâlinde mevcut yeterlilik kararları geçerliliğini koruyacaktır. Kurul, değerlendirme sonuçlarına göre yeterlilik kararını değiştirebilecek, askıya alabilecek veya kaldırabilecektir.
2. Uygun güvencelere dayalı aktarım: Hakkında yeterlilik kararı bulunmayan ülkelere veri aktarımının, KVKK’nın 5. ve 6. maddelerinde belirtilen veri işleme şartlarından birinin varlığı halinde belirli uygun güvencelerin sağlanması durumunda mümkün olacağı düzenlenmiştir. Bu güvenceler kamu kurumları arası anlaşmalar, bağlayıcı şirket kuralları ve standart sözleşmenin varlığı veya yeterli koruma sağlayacak taahhütnamelerin imzalanmasıdır. Kurul’un yetkilerine dayanarak alternatif bir mekanizma olarak kabul ettiği bağlayıcı şirket kurallarının da Kanun’a eklenmesi önem arz etmektedir. Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı halinde, ortak ekonomik faaliyette bulunan teşebbüsler bünyesindeki şirketlerin bu kurallar kapsamında yurt dışına veri aktarabileceği düzenlenmiştir. Ek olarak GDPR’da yer alan “Standard Contractual Clauses” hükmüne paralel olarak Kurul tarafından içeriği belirlenip ilan edilecek standart sözleşmelerin imzalanması ve bu durumun Kurul’a 5 (beş) iş günü içerisinde bildirilmesi üzerine kişisel veriler yurt dışına aktarılabilecektir. İmzalanan sözleşmeleri Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirmeyen veri sorumlularına ise idari para cezası uygulanabilecektir. KVKK’ya getirilen işbu bildirim yükümlüğü GDPR’da bulunmamaktadır.
3. Arızi durumlara dayalı aktarım: Yeterlilik kararı veya güvencenin bulunmaması hâlinde de Avrupa Veri Koruma Kurulu’nun 2/2018 sayılı Rehber’inde belirtildiği üzere düzenli ve sistematik olmayacak şekilde, yalnızca tek seferlik veya geçici olarak veri aktarımının yapılabileceği hüküm altına alınmıştır. Arızi haller Kanun’da sınırlı olarak sayılmıştır. Arızi durumdan kasıt yurtdışına yapılan aktarımın işin bir parçası olmaması yalnızca bir veya birkaç defaya mahsus bu aktarımın yapılması gerekliliğidir. Kurum tarafından yurtdışı aktarımlarına ilişkin ikincil mevzuatın çıkarılması ve standart sözleşme hükümlerinin ilan edilmesi beklenmektedir.
III. Kurul kararlarına karşı başvuru yolu (KVKK, md. 18)
Değişiklik ile KVKK’nın “Kabahatler” başlıklı 18. maddesinde önemli yenilikler yapılmıştır. Değişiklik öncesi Kurul kararlarına karşı ikili bir denetleme uygulaması bulunmaktaydı. Kurul’un idari para cezalarına karşı sulh ceza hâkimliğine başvurulurken idari para cezası dışında kalan kısmı için ise idari yargıya başvurulmaktaydı. Sulh ceza hâkimliğine başvuru uygulaması uygulamaya esas tutulacak içtihadın oluşamaması nedeniyle hukukî belirlilik bakımından sorun teşkil etmekteydi.
Değişiklik ile Kurul tarafından verilen idari yaptırım kararlarına karşı sulh ceza hâkimliğine başvuru yolu yerine idare mahkemelerinde dava açılması imkânı getirilmiştir. İşbu değişiklikle idari yargı nezdinde oluşacak içtihatlar ışığında idari yaptırım kararlarına itiraz süreci daha net bir hukuki çerçeveye kavuşmuş olacaktır.
Maddeye getirilen diğer önemli yenilik ise ilk defa yurtdışına aktarıma ilişkin bir kabahat tanımlanmış olmasıdır. Yurt dışı aktarım bakımından yukarıda bahsi geçen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası uygulanması hükme bağlanmıştır. KVVK md. 18’de düzenlenen diğer idari para cezalarından farklı olarak veri sorumlusunun yanı sıra burada yurtdışı aktarımın süjelerinden biri olarak sayılan veri işleyen bakımından da bir yaptırım öngörülmüştür.
IV. Geçiş hükmü
Geçici madde ile, iki farklı geçiş hükmü düzenlenmiştir:
1 Haziran 2024 tarihi itibariyle sulh ceza hâkimlikleri önünde görülmekte olan derdest dosyaların ise yargılaması işbu hâkimlikler nezdinde devam edeceği belirtilmiştir.
Getirilen değişikliğin yürürlüğe girmesinden sonra geçiş döneminde yaşanabilecek aksaklıklar nazara alınarak, KVKK’nın “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” şeklindeki 9. maddesinin birinci fıkrasının üç ay süreyle daha uygulanması öngörülmüştür. Bu doğrultuda Kişisel verilerin açık rıza ile yurt dışına aktarılmasına ilişkin hüküm 1 Eylül 2024 tarihine kadar uygulanmaya devam olunacaktır.
Kanun KVKK kapsamında değişikliklerin gündeme geleceği maddelerinin 1 Haziran 2024 tarihinde yürürlüğe gireceğini hükme bağlamıştır.
Konuya ilişkin yürürlüğe giren işbu Kanun’un Teklif aşamasına ilişkin yayınlamış bulduğumuz 20 Şubat 2024 tarihli “8. Yargı Paketi Teklifinin Kişisel Verilerin Korunması Kanunu Özelinde Getirdiği ve Genel Veri Koruma Tüzüğüne Uyumu İçerir Düzenlemeler” başlıklı sirkülerimizi inceleyebilirsiniz.
Kişisel verilerin korunmasına yönelik detaylı hukuki değerlendirme ve diğer tüm hukuki danışmanlık hizmetleri için bizlerle iletişime geçebilirsiniz.
Saygılarımızla.
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erkan Baykuş
Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.