Haber Detayı

KİŞİSEL VERİLERİN KORUNMASI KANUNUNDA YAPILAN DEĞİŞİKLİKLER

12 Mart 2024 tarihinde Resmi Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Değişiklik Kanunu”), 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (“KVKK” veya “Kanun”) önemli değişikliklere imza atmıştır. Değişiklik Kanunu ile, KVKK'nın 6., 9., ve 18. maddelerinde gerçekleştirilen değişiklikler yapılmış olup ile KVKK'ya Geçici 3. madde eklenmiştir.

Değişiklikler, iki aşamalı bir geçiş planını öngörmektedir. Bu doğrultuda, açık rızaya dayalı yurt dışına veri aktarımı düzenlemeleri 1 Eylül 2024 tarihine kadar uygulanacak olup, bu tarihten itibaren açık rızaya dayalı olarak sürekli bir şekilde yurt dışına kişisel veri aktarımı gerçekleştirilemeyecektir. Diğer düzenlemeler ise 1 Haziran 2024 tarihinde yürürlüğe girecektir.

i, KVKK’nın “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6. maddesinde yapılan değişiklik ile özel nitelikli kişisel verilerin işlenmesini ilgili kişinin açık rızası ve kanunlar tarafından öngörülen hallerin varlığıyla sınırlamakta iken yapılan değişiklik ile özel nitelikli kişisel verilerin istisna olarak işlenmesinin mümkün olduğu durumlar, sekiz ayrı bent şeklinde belirtilerek genişletilmiştir. Bu çerçevede, sağlık ve cinsel hayata ilişkin verilerin sadece sır saklama yükümlülüğü altında bulunan yetkili kurum ve kuruluşlar veya kişiler tarafından değil, aynı zamanda madde kapsamında getirilen diğer hukuka uygun işleme sebeplerinin var olması durumunda, tüm veri sorumluları tarafından diğer özel nitelikli verilerle birlikte açık rıza aranmaksızın işlenmeleri mümkün hale gelmiştir.

ii, KVKK'nın "Kişisel Verilerin Yurt Dışına Aktarılması" başlıklı 9. maddesinde yapılan değişiklik ile kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağına yönelik anlayış esnetilmiştir. Yapılan değişiklikle birlikte, kişisel verilerin birtakım gerekliliklerin sağlanması halinde yurt dışına aktarılabileceği düzenlenmiştir.

Kanun ile yapılan değişiklikle, genel açık rıza yöntemi ile aktarım seçeneği kaldırılarak, mevcut durumun yerine üç yurt dışına aktarım kategorisi belirlenmiştir. (i) KVKK kapsamında, kişisel verilerin veya özel nitelikli kişisel verilerin işlenme şartlarından (KVKK madde 5 ve 6) birinin varlığı ve Kurul tarafından aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması durumunda, kişisel veriler veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir. (ii) Yeterlilik kararının bulunmaması hâlinde KVKK’nın 5. maddesi veya 6. maddesinde yer alan işlenme şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla Kanun’da belirtilen uygun güvencelerden birinin (taahhütname, bağlayıcı şirket kuralları (BCR), standard sözleşme hükümleri (SCC), uluslararası sözleşme niteliğinde olmayan sözleşmeler) taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından kişisel verilerin yurt dışına aktarılabileceği düzenlenmiştir. (iii) Son olarak da bahsi geçen yeterlilik kararının veya güvencelerin bulunmaması halinde ise, yalnızca arızi yani sadece tek seferlik veya birkaç sefere mahsus olmak kaydı ile kişisel veri aktarımı yapılması mümkün kılınmıştır.

Bununla birlikte, mevcut KVKK düzenlemesi uyarınca, ilgili kişinin açık rızası alınarak yapılan yurt dışına aktarımlar, 1 Eylül 2024 tarihine kadar yapılmaya devam edilebilecektir. 1 Eylül 2024 tarihine kadar, açık rızaya dayalı olarak gerçekleştirilen yurt dışına veri aktarım faaliyetlerinin yeni kurallara uyumlu hale getirilmesi gerekmektedir.

iii. Yapılan değişiklikle birlikte, KVKK'nın “Kabahatler” başlıklı 18. maddesine yeni bir bent eklenerek, KVKK'nın 9. maddesinde belirtilen bildirim yükümlülüğünün yerine getirilmemesi halinde 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacağına ilişkin bir düzenleme getirilmiştir.

Değişiklik öncesinde KVKK'nın 18/2. maddesi uyarınca idari para cezaları, yalnızca veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanmaktayken, yapılan değişiklik ile bildirim yükümlülüğüne ilişkin olarak öngörülen idari para cezasının veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı düzenlenmiştir. Bunun yanı sıra, değişiklik öncesinde Kurul tarafından verilen idari para cezası kararlarına yönelik itirazlar için sulh ceza hakimliklerine başvuru yapılabilirken, yapılan değişiklikten sonra idari para cezalarına karşı idare mahkemeleri görevli kılınmıştır.

Her ne kadar 8. Yargı Paketi ile KVKK m. 18 kapsamında verilen kararlara karşı itiraz için idare mahkemeleri yetkili mahkeme olarak belirlenmişse de 1 Haziran 2024 tarihi itibarıyla sulh ceza hakimliklerinde görülmekte olan başvurular, bu hakimliklerce karara bağlanacaktır.

Sonuç

Söz konusu değişiklikler bütün olarak değerlendirildiğinde, KVKK'nın, Avrupa Birliği’nde uygulanan General Data Protection Regulation (Avrupa Veri Koruma Tüzüğü) (“GDPR”) ile uyumunun arttırılması sağlanmış ve uluslararası alanda faaliyet gösteren veri sorumlularının işini kolaylaştıracak ara çözümler geliştirilmeye çalışılmıştır.