16.02.2024 tarihinde Türkiye Büyük Millet Meclisi’ne (“TBMM”) sunulan “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi” (“Kanun Değişikliği”) 02.03.2024 tarihinde TBMM Genel Kurulu’nda aynen kabul edilerek 12.03.2024 tarihli Resmi Gazete’de 7499 sayılı kanun olarak yayımlanmıştır.
Aşağıda ayrıntılı olarak açıklayacağımız üzere, Kanun Değişikliği ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girecek olup işbu değişiklikler özetle:
Bu kapsamda, 01.06.2024 tarihine kadar,
yönünde hazırlık yapılmasını önerdiğimizi belirtiriz.
KVKK’nın 6. maddesinde özel nitelikteki kişisel verilerin işlenme şartları düzenlenmektedir. Özel nitelikli kişisel veriler KVKK’da sınırlı sayma yolu ile belirlenmiş olup bunlar; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Belirtmek gerekir ki, özel nitelikli kişisel verilerin kıyas yolu ile genişletilmesi mümkün değildir.
Kanun Değişikliği öncesinde, sağlık ve cinsel hayata ilişkin veriler haricindeki özel nitelikteki kişisel veriler, kural olarak kanunlarda öngörülen hallerde ilgili kişinin açık rızası alınmadan işlenebilmekteydi. Öte yandan, sağlık ve cinsel hayata dair kişisel veriler için KVKK daha kısıtlayıcı yaklaşmış ve bahsi geçen kişisel verilerin, ilgilinin açık rızası aranmaksızın yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebileceği belirtilmişti.
KVKK’nın özellikle sağlık verilerinin işlenmesine ilişkin kısıtlamalar getirmesi, özel nitelikli kişisel verilerin işlenmesinde neredeyse tamamen açık rızaya ihtiyaç duyulması, veri sorumlularının tabi olduğu farklı kanuni yükümlülüklerin varlığı sebebiyle sağlık verisini almak zorunda kalması uygulamada önemli zorluklar ve çelişkiler oluşturmuştur.
Kanun Değişikliği ile birlikte;
KVKK’nın 6. maddesinin 3. fıkrasında değişiklik yapılarak Avrupa Birliği 2016/679 sayılı Genel Veri Koruma Tüzüğünde (“Tüzük”) öngörülen düzenlemeler ve uygulamada karşılaşılan ihtiyaçlar dikkate alınarak ilgili kişilerin sağlığına ve cinsel hayatına ilişkin veriler ile diğer özel nitelikli kişisel veriler arasında halihazırda bulunan ayrım kaldırılarak yeni işleme şartları ortaya konulmuştur.
Kanun Değişikliği’nin gerekçesinde de belirtildiği üzere, mevcut düzenleme uyarınca sağlık verisi sadece Sosyal Güvenlik Kurumu ve T.C. Sağlık Bakanlığı ile sağlık kuruluşları tarafından işlenebilmektedir. Ancak başta sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında sağlık verisine ihtiyaç bulunmaktadır.
Yapılan değişiklik ile 6. maddenin ikinci fıkrasında özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm muhafaza edilmekte ve özel nitelikli kişisel verilerin işlenebileceği haller genişletilerek tahdidi olarak sayılmaktadır. Bu fıkrada sayılan hallerden birinin varlığı halinde özel nitelikli kişisel verilerin işlenmesi mümkün olacaktır.
Örneğin; fiili imkansızlık durumunda özel nitelikli kişisel verilerin işlenmesi, aleni özel nitelikli kişisel verilerin işlenmesi, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, istihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumların üyelerine yönelik yeni hukuki işleme sebepleri olarak belirtilmiştir.
KVKK’nın 9. maddesi kişisel verilerin yurt dışına aktarılmasını düzenlemektedir. Kanun Değişikliği öncesinde, ilgili madde uyarınca kişisel veriler yurt dışına yalnızca ilgili kişinin açık rızası alınması koşuluyla veya açık rıza haricinde KVKK’nın 5. maddesinde yer alan veri işleme şartlarının bulunması ve kişisel verinin aktarılacağı yabancı ülkede yeterli korumanın bulunması şartlarının bir arada bulunması durumlarında aktarılabileceği kararlaştırılmıştı.
Bu düzenlemeye rağmen yeterli korumanın bulunduğu ülkeler hâlihazırda Kurul tarafından ilan edilmediğinden uygulamada ilgilinin açık rızasının alınması koşulu sağlanması dışında maddenin uygulama alanı bulabilmesi mümkün değildi.
Dolayısıyla, açık rıza haricinde bir hukuki zeminin varlığı durumunda veri sorumlusunun Kurul’dan yurt dışına aktarım için onay alması gerekmekteydi. Bunlara ek olarak Kurul, bağlayıcı şirket kurallarının da 9. maddenin uygulanması bakımından kabul edilebilir bir yöntem olduğunu duyurmuştu.
Kanun Değişikliği ile birlikte;
Kişisel verilerin yurt dışına aktarılmasında açık rıza temelli anlayıştan yeni bir sistematiğe geçiş yapılarak yeterlilik kararına dayalı aktarım, uygun güvencelere dayalı aktarım ve arızi hallere dayalı aktarım şeklinde üç farklı alternatif getirilmiştir.
Bu kapsamda yurt dışı aktarımın güncel ihtiyaçlara göre kolaylaştırılması ve Tüzük ile uyumlu hale getirilmesi amaçlanmaktadır. Ancak belirtmek gerekir ki, Tüzük’de yer alan onaylanmış sertifikasyon mekanizması ile davranış kuralları gibi ek bazı kolaylaştırıcı alternatifler Kanun Değişikliği’nde yer almamaktadır. Değişiklikleri detaylıca inceleyecek olur isek;
Yurt dışına kişisel veri aktarılabilmesini öngören ilk hukuka uygunluk sebebi olan yeterlilik kararına dayalı aktarımda; yeterlilik kararı verilirken veri aktarımı yapılacak olan ülke ile karşılıklılık ilişkisine, veri aktarımı yapılacak ülkenin mevzuatına, bu ülkenin bağımsız bir veri koruma otoritesinin olup olmadığına ve uluslararası sözleşmelere taraf olup olmadığına bakılacaktır. Ayrıca yeterlilik kararına dayalı aktarımda ülkelere ek olarak yeterlilik kararına uluslararası kuruluşlar ve sektörlerin de konu edilebilecektir. Kanun Değişikliği’nde yeterlilik kararının en geç dört yılda bir değerlendirilmesine ilişkin bir kural da getirilmiştir.
Kurul tarafından bir ülkeye yeterlilik kararı verilmesi halinde artık bu ülkedeki veri sorumlularından ve veri işleyenlerden ek bir izin almadan veya rıza aramadan kişisel veri aktarımı yapılması mümkün olacaktır.
Yeterlilik kararı bulunmaması halinde ise açık rıza almaksızın ikinci hukuka uygunluk sebebi olarak güvencelere dayalı aktarım yöntemine başvurulması imkânı getirilmiştir.
Ön koşulların sağlanması ve yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı halinde Kurul’dan izin alınması kaydıyla yurtdışına kişisel veri aktarımı yapılması imkânı tanınmıştır. Kanun Değişikliği ile bağlayıcı şirket kurallarına kanuni dayanak kazandırılarak verinin aktarıldığı ülkenin KVKK ile benzer korumalar sağladığını gösteren mekanizmaları hukuka uygunluk sebebi olarak sayılmıştır.
Ön koşulların sağlanması ve Kurul tarafından hazırlanacak olan standart sözleşmelerin kullanılması halinde yurtdışına kişisel veri aktarımı yapılmasına imkân tanınmıştır. Bununla birlikte, Kanun Değişikliği ile standart sözleşmenin imzalanmasından itibaren 5 iş günü içerisinde Kurul’a bildirilmesi yükümlülüğü öngörüldüğünden ve bu bildirime uyulmaması idari para cezasına bağlandığından standart sözleşmenin kullanılmasının uygulamada yaygınlaşacağı kanaatindeyiz.
Arızi hallere dayalı aktarımın ise yeterlilik kararı olmayan ve uygun güvencelerden birisinin de sağlanmadığı hallerde, süreklilik arz etmeyecek şekilde kullanılması gerektiği belirtilmiştir. Bu kapsamda arızi olmak kaydıyla;
halinde yurt dışına aktarım yapılabileceği düzenlenmiştir.
Öte yandan, yurt dışına yapılan sonraki aktarımlara ilişkin veri sorumluları ve veri işleyenlere özel bir yükümlülük getirilerek sonraki aktarımları için de KVKK’ya uymak zorunda oldukları düzenlenmiştir. Mevcut durumda, Kişisel Verileri Koruma Kurumu’nun (“Kurum”) yurt dışı veri aktarımına ilişkin yönetmelik çıkarması ve standart sözleşme hükümlerini belirlemesi beklenmekte olup bu süreçte (en az 01.09.2024 tarihine kadar) kişisel verilerin açık rızaya dayanarak yurt dışına aktarılabileceğini belirtmek isteriz.
Kanun Değişikliği öncesinde KVKK’da sınırlı sayı prensibine göre dört kabahat belirlenmiş idi. Son değişiklikler ile birlikte, yurtdışına kişisel veri aktarımında uygulama alanı bulacak olan standart sözleşmelere dayalı olan aktarım kapsamında standart sözleşmelere ilişkin özel bir bildirim yükümlülüğü getirilmiş ve işbu durum için idari para cezası tanımlanarak yeni bir kabahat daha eklenmiştir.
Kanun Değişikliği ile birlikte;
Veri sorumluları ve veri işleyenlere yurt dışı aktarımı için imzalayabilecekleri standart sözleşmeleri 5 iş günü içerisinde Kurum’a bildirme yükümlülüğü getirilmiştir. Kanun Değişikliği’nin gerekçesinde de belirtildiği üzere, veri işleyenlere standart sözleşmenin bildirilmesi bakımından ilk kez sorumluluk yüklenmiş ve standart sözleşmenin imzalandığını Kurul’a bildirme ödevi hem veri sorumlusuna hem de veri işleyene yüklenmiştir.
Bu duruma aykırı davranılması halinde Kurul tarafından veri sorumluları veya veri işleyenler hakkında 50.000-TL’den 1.000.000-TL’ye kadar idari para cezası verileceği hüküm altına alınmıştır. Gerçekleşen değişiklik ile güncel kabahatler tablo ile gösterilmektedir:
|
YÜKÜMLÜLÜK |
2024 YILI CEZA TUTARLARI |
|
Aydınlatma yükümlülüğünün ihlali |
47.303-946.308 |
|
Veri güvenliği yükümlülüklerinin ihlali |
141.934-9.463.213 |
|
Kurul tarafından verilen kararların yerine getirilmemesi |
236.557-9.463.213 |
|
Veri Sorumluları Sicili’ne kayıt ve bildirim yükümlülüğünün yerine getirilmemesi |
189.245-9.463.213 |
|
Standart sözleşmelerin süresinde Kurum’a bildirilmemesi |
50.000 - 1.000.000 |
Kanun Değişikliği öncesinde Kurul’un idari para cezalarına karşı sulh ceza hakimliğine başvurulurken idari para cezası dışında kalan kısım için ise idari yargı yoluna başvurulmaktaydı.
Kanun Değişikliği ile birlikte;
Kurul kararlarının denetimi açısından daha etkin bir usul oluşturulması amaçlanarak KVKK’nın 18. maddesine üçüncü fıkra eklenmiş ve “Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.” hükmü getirilmiştir. Bu kapsamda, Kurul tarafından verilen idari para cezalarına dair kararların idari yargı yolu tarafından denetlenmesi sağlanmıştır.
Belirtmek gerekir ki, 01.06.2024 tarihi itibarıyla sulh ceza hakimlikleri nezdinde görülmekte olan başvurular, bu hakimliklerce görülmeye devam edecektir
Türkiye’de uzun bir süredir beklenmekte olan Kanun Değişikliği ile uygulamada görülen ihtiyaçlar ve yaşanan teknolojik gelişmeler göz önünde bulundurularak önemli bir adım atılmıştır.
Kanun Değişikliği ile şirketlerin mevcut uyum projelerinin gözden geçirilmesi ve 01.06.2024 tarihine kadar,
yönünde hazırlık yapılmasını önerdiğimizi belirtiriz.
Konuyla ilgili herhangi bir sorunuz veya talebiniz olması halinde bizimle her zaman iletişime geçebilirsiniz.
Saygılarımızla,
Özay Hukuk Bürosu