Posted on by Tarlan Avukatlık Bürosu

KİŞİSEL VERİLERİN KORUNMASI KANUNU’NDA ÖNEMLİ DEĞİŞİKLİKLER

12 Mart 2024 tarihinde Resmi Gazete’de yayınlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) bazı değişiklikler yapıldı. Değişiklikler 01 Haziran 2024 itibariyle yürürlüğe girecektir. Değişen Kanun maddeleri özellikle yıllardır uygulamada soru işaretleri yaratan özel nitelikli kişisel verilerin işlenmesi ile yurt dışına kişisel veri aktarımını düzenleyen maddelerde de önemli değişiklikler barındırıyor. Herkes için etkileri yüksek olacak bu değişiklikleri sizler için bu yazımızda inceleyeceğiz.

Değişikliklerin ana başlıkları aşağıdaki gibidir:

  • Özel nitelikli kişisel verilerin işlenmesine ilişkin değişiklikler
  • Kişisel verilerin yurt dışına aktarılmasına ilişkin değişiklikler
  • İdari para cezalarıyla ilgili değişiklikler ve idari para cezalarına itiraz usulü

ÖZEL NİTELİKLİ KİŞİSEL VERİLER NASIL İŞLENECEK?

Özel nitelikli kişisel veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri içeriğinde barındıran bir kişisel veri türüdür.

Özel nitelikli kişisel verilerin işlenmesi önceki kabul edilen kanun maddesinde mümkün olmakla birlikte sınırlı şartlara bağlıydı ve özellikle sağlık ve cinsel hayata ilişkin veriler çok sıkı şartlarda sadece sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenebilen verilerdi.

Örneğin hukuki bir yükümlülük olarak sağlık raporlarını (işe giriş muayene rapor, periyodik muayene raporu, raporlu izinlere dair raporlar vs.) saklaması gereken işverenlerin eğer işyerinde bir işyeri hekimi de yoksa süreci nasıl yöneteceği oldukça karışık bir hale bürünmekle birlikte bir de hukuki yükümlülüğün yerine getirilmesi için açık rıza alınması zorunlu hale gelebiliyordu. Bu sebeple ilgili değişiklik muhakkak ki gerekliydi.

Yeni düzenlemeyle birlikte özel nitelikli kişisel verilerin işlenmesi aşağıdaki işleme şartları hariç olmak üzere yasaklanmıştır.

Görüldüğü üzere artık açık rıza da bir işleme şartı olarak getirilerek işleme şartları artırılmıştır.

KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINDAKİ YENİ SINIRLAR NELERDİR?

Kişisel verilerin yurt dışına aktarılması da Kişisel Verilerin Korunması Kanunu’nda tartışmalı diğer konulardan biriydi.

ESKİ DÜZENLEME

Önceki düzenlemede kişisel verilerin yurt dışına aktarılması aşağı belirtilen şekliyle mümkündü.

  • Kişisel verinin aktarılacağı ülkede yeterli koruma bulunuyorsa: Ancak Kişisel Verileri Koruma Kurumu tarafından güvenli ülkeler işbu yazının yayınlandığı tarihte dahi yayınlanmadı.
  • Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun izninin bulunması: Bu konuda da Kurul’un izni gerekiyor olması sebebiyle taahhütname süreçleri çok uzun sürelerde sonuçlanıyor ve Kurul’un çok az veri sorumlusuna izin verdiği düşünüldüğünde veri sorumluları için efektif bir sonuç getirmiyordu.
  • Kişisel verisi yurt dışına aktarılacak ilgili kişinin açık rızasının bulunması: Çoğu veri sorumlusu, diğer şartları sağlayamadığından çoğunlukla ilgili kişilerden açık rıza almayı tercih ediyordu. Ancak açık rızanın istendiğinde geri çekilebilir olması sebebiyle bu aktarma şartı da çok efektif sonuçlar yaratmıyordu.

YENİ DÜZENLEME

Yeni düzenleme ise yurt dışına veri aktarımı için kademeli bir sistem öngörmektedir. Yani kişisel verilerin yurt dışına aktarımı noktasında her bir aktarım şartının mevcut olup olmadığı tek tek incelenecek ve diğer aktarım şartına eğer bir üstteki bulunmuyorsa gidilecektir. Diğer bir deyişle aktarım şartları arasında hiyerarşi düzenlenmiştir.

1-Kanun’un 5. ve 6. maddelerde belirtilen veri işleme şartlarından birinin varlığı + Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar için yeterlilik kararı bulunması

Kanun’un kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesine ilişkin düzenlediği şartlardan birinin bulunması ve Kurul’un aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında hakkında yeterlilik kararının bulunması gereklidir.

Yeterlilik kararının Kanun’da aşağıdaki standartlar göz önünde bulundurularak verileceği düzenlenmiştir.

  1. Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
  2. Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
  3. Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
  4. Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
  5. Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
  6. Türkiye’nin taraf olduğu uluslararası sözleşmeler.
2-Kanun’un 5. ve 6. maddelerde belirtilen veri işleme şartlarından birinin varlığı + İlgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması + Kanun’da belirtilen uygun güvencelerden birinin bulunması

Kanun’un kişisel verilerin ve özel nitelikli kişisel verilerin işlenmesine ilişkin düzenlediği şartlardan birinin bulunması, ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması ve aktarımı gerçekleştiren kişiler tarafından uygun güvencelerin sağlanması gereklidir.

Kanun’da uygun güvenceler aşağıdaki gibi sıralanmıştır;

  1. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
  2. Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
  3. Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
  4. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

Standart sözleşme ile aktarım halinde, standart sözleşmenin imzalanmasından itibaren beş iş günü içinde Kurum’a bildirim yapılmalıdır.

3-Arızi olmak kaydıyla Kanun’da yer verilen hallerden birinin varlığı

Arızi olmak kaydıyla aşağıda yer verilen hallerde kişisel verilerin yurt dışına aktarılmasının uygun olduğu düzenlenmiştir.

  1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi
  2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
  3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
  4. Aktarımın üstün bir kamu yararı için zorunlu olması.
  5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
  6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
  7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Kişisel verilerin yurt dışına aktarılmasına ilişkin getirilen yeni düzenlemeyle birlikte bu konunun çıkarılacak bir yönetmelikle daha detaylı bir şekilde düzenleneceği de bildirilmiştir. Şu an yönetmelik taslağı görüşlerin toplanması için Kurum tarafından yayınlanmış olmakla birlikte Yönetmelik henüz son şeklini almamıştır.  

İDARİ PARA CEZALARINDA NELER DEĞİŞTİ VE İDARİ PARA CEZALARINA NASIL İTİRAZ EDECEĞİZ?

Yukarıda da bahsettiğimiz gibi kişisel verilerin yurt dışına aktarım şartlarından biri olan standart sözleşmelerin, imzalandığı günden itibaren 5 iş günü içerisinde Kurul’a bildirilmesi yükümlülüğü getirilmiştir. Bu bildirim yükümlülüğüne uymayanlar için ise yeni bir yaptırım türü olarak, 1 milyon Türk Lirası’na kadar idari para cezası verilebileceği düzenlenmiştir.

Ayrıca, Kanun’da idari para cezaları için itiraz sürecinin nasıl işletileceği düzenlenmemişti. Uygulamada verilen yaptırımların idari para cezası olmaları sebebiyle sulh ceza hakimliklerinde görüleceği kanaatiyle süreç işletiliyordu. Yeni düzenlemeyle birlikte idari para cezalarına ilişkin itirazların idare mahkemelerinin görev alanında olduğu düzenlenmiştir.

Av. Sinem İLİKLİ

TARLAN AVUKATLIK BÜROSU

AV. AYLİN TARLAN

Leave a comment