Kişisel Verilerin Korunması Kanunu’nda Beklenen Değişiklikler Kabul Edildi

8. Yargı Paketi reformu olarak da anılan ve Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) uzun zamandır beklenen değişiklikleri de içeren 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 12.03.2024 tarih ve 32487 sayılı Resmi Gazete’de yayımlanmıştır.

Özel nitelikli kişisel verilerin işlenmesi, yurt dışına veri aktarımı, idari yaptırımlar ve idari para cezalarına karşı yapılacak başvurular bakımından önemli değişiklikler, planlandığı üzere, 1 Haziran 2024 tarihinde yürürlüğe girecektir.

Veri sorumluları ve veri işleyenler bakımından yapılan önemli değişiklikler, özetle, aşağıdaki gibidir:

  • Özel Nitelikli Kişisel Verilerin İşlenmesi: Sağlık ve cinsel hayata ilişkin veriler de dahil özel nitelikli kişisel verilerin işlenmesi rejimi değiştirilmiştir. Buna göre, mevcut düzenlemelere ek yeni hukuki nedenler ışığında da bu verilerin açık rıza aranmaksızın işlenmesi mümkün hale gelmiştir. Örneğin, özel nitelikli kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için ve istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olduğu durumlarda da açık rıza aranmaksızın işlenebilecektir. Yine, ilgili kişi tarafından alenileştirilen özel nitelikli verilerin alenileştirme iradesine uygun şekilde işlenmesi de mümkün olacaktır.
  • Yurt Dışı Veri Aktarımı ve Yeni İdari Yaptırım: Yurt dışı veri aktarımına ilişkin önemli değişiklikler yapılmış, yeterlilik kararına dayalı aktarım dışında açık rıza alınmasına gerek olmaksızın alternatif alternatif aktarım yöntemleri belirlenmiştir.  Kişisel Veri Koruma Kurulu’nun (“Kurul”) yetkilerine dayanarak alternatif bir mekanizma olarak kabul ettiği bağlayıcı şirket kuralları yasal bir dayanağa kavuşmuştur. Yurt dışına aktarım ile ilgili en major değişiklik ise Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) bulunan “Standard Contractual Clauses” benzeri bir mekanizmanın kabul edilmesidir. Kurul tarafından içeriği belirlenecek ve ilan edilecek standart bir sözleşmenin, veri aktarımının tarafları arasında imzalanması halinde kişisel verilerin açık rıza aranmaksızın yurt dışına aktarılabileceği düzenlenmektedir. Ancak GDPR uygulamasından farklı olarak bu sözleşmelerin 5 iş günü içerisinde Kişisel Verileri Koruma Kurumu’na bildirilmesi gerekecektir. Buna aykırı davranılması halinde hem veri sorumluları hem de veri işleyenler hakkında 50.000.- TL’den 1.000.000.- TL’ye kadar idari para cezası uygulanabilecektir.
  • Yurt Dışına İstisnai Veri Aktarımları: Kişisel verilerin yurt dışına aktarılmasının “bir hakkın tesisi, kullanılması veya korunması için zorunlu olması” veya “bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması” gibi bazı hallerde de açık rıza aranmaksızın kişisel verilerin yurt dışına aktarılabilmesi mümkün olacaktır.
  • Yargı Yolu: Değişikliklerin yürürlüğe girmesi ile birlikte idari para cezalarına karşı idare mahkemelerinde dava açılabilmesi mümkün olacaktır.

Veri sorumlularının ve veri işleyenlerin, Kanun’da yapılan değişiklikleri kapsamlı şekilde değerlendirmeleri ve 1 Haziran 2024 tarihi itibariyle süreçlerini güncellemek için gerekli çalışmaları en kısa süre içerisinde başlatmaları önerilmektedir.


Aboneliğinizi Yönetin

Güncel hukuki görüşlerimiz ve etkinliklerimiz hakkında özelleştirilmiş bilgilendirme için abone olun.