Kişisel Verilerin Korunması Kanunu’nda Yapılan Değişiklikler Yürürlüğe Girdi

8. Yargı Paketi reformu olarak da anılan ve Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) uzun zamandır beklenen değişiklikleri de içeren 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 12.03.2024 tarih ve 32487 sayılı Resmi Gazete’de yayımlanmıştır.

Kanun’da bu çerçevede veri sorumlularını ilgilendiren kapsamlı değişiklikler yapılmıştır. Veri sorumlularının Kanun’a uyum için yaptıkları çalışmaları gözden geçirmeleri, aydınlatma metinlerini güncellemeleri, yurt dışı aktarımın  taraflarıyla Kişisel Verileri Koruma Kurumu’na (“Kurum”) sunulacak standart sözleşme hükümlerini kabul ederek bu hükümleri Kurum’a bildirmeleri gerekecektir. Ayrıca, değişiklikler ile birlikte yurt dışı aktarımı bakımından bildirim yükümlülüğünün ihlal edilmesi halinde veri işleyenler hakkında da idari para cezası uygulanabilecektir.

Kanun’da yapılan değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girmiştir. İkincil düzenlemeler beklendiği için veri sorumlularının ve veri işleyenlerin süreci yakın şekilde takip etmesi ve en kısa süre içerisinde veri işleme süreçlerini değişikliklere uygun hale getirmek adına çalışmalara başlaması önerilmektedir. 

Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel verilerin işlenmesine ilişkin hukuki nedenler yeniden düzenlenmiştir. Buna göre, özel nitelikli kişisel veriler ancak aşağıdaki nedenlerin bulunması durumunda işlenebilecektir:

  • İlgili kişinin açık rızasının olması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • İstihdam, iş ve sosyal güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Siyasi parti, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Bu hallerden en az birinin yokluğu halinde özel nitelikli kişisel verilerin işlenemeyeceği ve yasak olduğu açıkça düzenlenmiştir.

Yurt Dışı Veri Aktarımı

Mevcut düzenleme ve kurallara ek olarak kişisel verilerin yurt dışına aktarımına ilişkin de kapsamlı düzenlemeler yapılmıştır. Kanun’da yapılan değişiklikler uyarınca aşağıdaki hususlar gündeme taşınmıştır:

  • Kişisel Verileri Koruma Kurulu’nun (“Kurul”) Yeterlilik kararlarının ülkelere ek olarak uluslararası kuruluş veya ülke içerisindeki sektörler hakkında da verilebileceği, verilebilecek bu kararlara uygun olarak yurt dışına veri aktarımı yapılabileceği öngörülmüştür.
  • Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşlarının yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile yapacağı uluslararası sözleşme niteliğinde olmayan anlaşmaların varlığı halinde de Kurul’dan izin alınması kaydıyla yurt dışına veri aktarılabileceği düzenlenmektedir.
  • Kurul’un yetkilerine dayanarak alternatif bir mekanizma olarak kabul ettiği bağlayıcı şirket kuralları da Kanun’a eklenmiştir. Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı halinde ortak ekonomik faaliyette bulunan teşebbüs (şirketler topluluğu) bünyesindeki şirketlerin bu kurallar kapsamında yurt dışına veri aktarabileceği belirtilmiştir. Bağlayıcı şirket kuralları için yeni kılavuzların yayınlanması beklenmektedir.
  • Türkiye’nin ve ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda da ilgili kamu kurum ve kuruluşunun görüşü alınarak Kurul’un izni ile verilerin yurt dışına aktarılabileceği düzenlenmiştir.
  • Veri sorumluları ve veri işleyen en esaslı değişiklik, Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) bulunan “Standard Contractual Clauses” benzeri bir mekanizmanın kabul edilmesidir. Buna göre, Kurul tarafından içeriği belirlenecek ve ilan edilecek standart bir sözleşmenin veri aktarımının tarafları arasında imzalanması halinde de kişisel verilerin açık rıza aranmaksızın yurt dışına aktarılabileceği düzenlenmektedir. Ancak GDPR uygulamasından farklı olarak bu sözleşmelerin 5 iş günü içerisinde Kurum’a bildirilmesi gerekecektir.

Ayrıca, yurt dışı aktarımının belirlenen prensiplere uygun olmadığı bazı arızi durumlarda da yurt dışı aktarımı yapılabileceği hüküm altına alınmıştır. İstisnai olarak kabul edilmesi gereken bu durumlar şöyledir:

  • İlgili kişilerin muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermeleri,
  • Aktarımın ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
  • Aktarımın üstün bir kamu yararı için zorunlu olması,
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Yurt dışına yapılan aktarımlardan sonraki aktarımlara ilişkin de düzenleme yapılmıştır. Veri sorumlusu ve veri işleyenlerin bu gibi sonraki aktarımları için de Kanun’a uymak zorunda oldukları düzenlenmiştir.

Veri sorumlularının ve veri işleyenlerin diğer mevzuattan kaynaklanan sınırlamaları olabileceği kabul edilmiş, özel nitelikteki bu düzenlemelerin öncelikli olarak uygulanacağı belirtilmiştir.

Kurum’un yurt dışı aktarımına ilişkin usul ve esasları, ayrı bir yönetmelik ile düzenlenmesi beklenmektedir.

En geç 1 Eylül 2024 itibariyle açık rızaya dayanan yurt dışı veri aktarımlarının veri sorumluları tarafından yukarıda belirtilen kapsamda yeniden ele alınması ve yurt dışı aktarımlara devam edilebilmesi için belirtilen güvencelerden birinin sağlanması gerekmektedir. 

Yeni İdari Para Cezası

Yukarıda belirtildiği üzere veri sorumluları ve veri işleyenlere yurt dışı aktarımı için imzalayabilecekleri standart sözleşmeleri 5 iş günü içerisinde Kurum’a bildirme yükümlülüğü getirilmiştir.  Buna aykırı davranılması halinde hem veri sorumluları hem de veri işleyenler hakkında 50.000.- TL’den 1.000.000.- TL’ye kadar idari para cezası uygulanabilecektir.

Yargı Yolu

Bilindiği üzere, Kanun uyarınca Kurul’un idari para cezasına ilişkin kararlarına karşı ancak sulh ceza hakimliklerine başvurulabilmekteydi ve idari yargı yoluna ancak Kurul’un para cezası ile birlikte ya da sadece başka bir idari yaptırım uygulaması halinde gidilebilmekteydi. Değişiklikler ile birlikte Kurul’un idari para cezalarına karşı da idare mahkemelerinde dava açılabileceği düzenlenmektedir.  

1 Haziran 2024 itibariyle sulh ceza hakimlikleri nezdinde görülmekte olan başvurular, bu hakimliklerce görülmeye devam edecektir.

Özet Değerlendirme  

Kanun, yapılan değişikliklerle birlikte, GDPR’a yaklaştırılmıştır ve uygulamada karşılaşılan pek çok soruna cevap vermektedir. Öte yandan, yeni düzenlemeler ile birlikte, Kanun’a uyum adına hazırlanan aydınlatma metinleri ve rıza formları açısından da değişiklik yapılması gerekecektir. Ayrıca, özellikle yurt dışına aktarıma ilişkin GDPR uygulamasından farklı olarak standart sözleşmelerin Kurum’a bildirilmesi gündeme gelecektir.

Kurum’un yurt dışı aktarımlara ilişkin yönetmelik çıkarması ve standart sözleşme hükümleri ile bağlayıcı şirket kurallarına ilişkin kılavuzların son hallerini ilan etmesi beklenmektedir.


Aboneliğinizi Yönetin

Güncel hukuki görüşlerimiz ve etkinliklerimiz hakkında özelleştirilmiş bilgilendirme için abone olun.