Bilindiği üzere 6698 Sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete'de yayımlanarak yürürlüğe girmiştir.Yürürlük tarihinden itibaren hızla gelişim gösteren KVKK, kurul kararları ve yayımlanan rehberler ile yönetmelik hükümleri ile sürekli gelişim kaydetmiştir.

İşbu sebeple KVKK uyumu, durağan olmayan ve sürekli takip ve uyum için çaba gerektiren bir süreç haline gelmiştir.

Konuya ilişkin son köklü değişiklik,7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile yapılmıştır.Şöyle ki;

Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararname’de Değişiklik Yapılmasına Dair Kanun Teklifi (“Teklif”), 02.03.2024 tarihinde Türkiye Büyük Millet Meclisi Genel Kurulu’nda kabul edilmiş ve Teklif’in 41. maddesi kanunlaşmış olup 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Kanun”) 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanmıştır. 

İlgili değişiklik ile GDPR (Avrupa Birliği Genel Veri Koruma Tüzüğü) ile uyumunun sağlanması ve uygulamada sıklıkla karşılaşılan sorunlara çözüm bulunması amaçlanmıştır.

Bu kapsamda, KVKK’nın 6., 9., 18. maddelerinde yapılan değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecektir. 

Resmi Gazete

Kanunda yapılan değişiklikleri dört temel başlık altında incelenebilir:

1-Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına ilişkin Değişiklikler

2-Kişisel Verilerin Yurt Dışına Aktarımına ilişkin Değişiklikler

3-Kabahatler Kapsamında Yapılan Değişiklikler

4-Kurul Kararlarına Karşı Başvurulacak Mahkemede Değişiklik

A.Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına ilişkin Değişiklikler

Mevcut durumda  sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler yalnızca KVKK’nın 6. maddesinde sayılan hallerin varlığı halinde açık rıza aranmaksızın işlenebilirken diğer özel nitelikli kişisel veriler kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilmekteydi. Kanun ile yapılan değişiklikten sonra özel nitelikli kişisel veriler içerisindeki ayrım kaldırılmış ve tüm özel nitelikli kişisel verilerin işlenme şartları genişletilerek hüküm altına alınmıştır. 

Kanun değişikliği ile özel nitelikli kişisel verilerin:

  • İlgili kişinin açık rızasının olması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması

durumları sayılarak kişisel verilerin işlenebileceği haller belirtilmiştir. Bu vasıtayla kişisel verilerin işlenme şartları için öngörülen hukuka uygunluk sebepleri Kanun ile yapılan değişiklik kapsamında genişletilmiştir.

Değişiklikle birlikte çalışanların sağlık verilerinin işveren tarafından işlenmesi gibi pek çok zorunlu işleme süreci için artık açık rıza alınmasına gerek kalmamıştır.Değişiklikle birlikte çalışma hayatı için gerekli olan iş sağlığı ve güvenliği ile ilgili istisnalar getirilmesi büyük önem arz etmektedir.

B.Kişisel Verilerin Yurt Dışına Aktarımına ilişkin Değişiklikler

Yapılan değişiklik ile yurt dışına aktarım sistematiği tamamıyla değişmiştir. 

KVKK’nın 9. maddesi aşağıdaki şekilde değiştirilmiştir:

1-Kişisel veriler, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluluları veya veri işleyenler tarafından yurt dışına aktarılabilir.

(Yeni düzenlemede mevcut hükümden farklı olarak yabancı ülkenin tamamı yerine, o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilebilmesine imkan tanınmaktadır)

  • Yeterlilik kararı Kurul tarafından verilir. Kurul ihtiyaç duyması halinde ilgili kurum ve kuruşlardan görüş almak suretiyle yeterlilik kararını en geç dört yılda bir değerlendirecektir.Bu süre zarfında Kurul tarafından verilen yeterlilik kararının değerlendirilmemesi durumunda yeterlilik kararı geçerliliğini korumaya devam edecektir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde yeterlilik kararını ileriye etkili olmak üzere değiştirebilecek, askıya alabilecek veya kaldırabilecektir.

Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:

  • Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörel veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
  • Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslarası kuruluşun tabi olduğu kurallar.
  • Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari veya adli başvuru yollarının bulunması.
  • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu
  • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.

2-Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, aşağıda belirtilen güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

  • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında, uluslararası sözleşme niteliğinde olmayan anlaşma akdedilmesi ve Kurul tarafından aktarıma izin verilmesi,
  • Birden çok ülkede faaliyet gösteren teşebbüs grubu için teşebbüs grubu üyelerin her birinin uymakla yükümlü olduğu bağlayıcı şirket kurallarının Kurul tarafından onaylanması,
  • Kurul tarafından ilan edilen, kişisel veri aktarımının amaçları, aktarılan veri kategorileri, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler ve özel nitelikli kişisel veriler için alınan ek önlemleri içeren standart sözleşmenin varlığı veya
  • Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi

hâlinde kişisel verilerin yurt dışına aktarımı mümkün olacaktır.

Arızi Nedenlerle Yurt Dışına Aktarım

Yapılan değişiklik öncesi Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına veri aktarımı mümkünken değişiklik ile yeterlilik kararının bulunmaması ve işbu durumda öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi, tek sefere mahsus, veri aktarımları için ise bazı istisnalar getirilmiştir. 

Kişisel Verilerin Korunmasıyla İlgili Seçilmiş Güncel Gelişmeler 29 Kişisel Verilerin Korunmasıyla İlgili Seçilmiş Güncel Gelişmeler 29

 Yeterlilik kararının bulunmaması ve belirtilen yeterli önlemlerden herhangi birinin sağlanamaması hâlinde, arızi olmak kaydıyla;

  • İlgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi,
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
  • Aktarımın üstün bir kamu yararı için zorunlu olması,
  • Aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • Aktarımın fiili imkânsızlık nedeniyle rızası açıklayamayacak veya rızasına hukuki geçerlilik tanınmayan kişilerin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması

hâllerinde kişisel verilerin yurt dışına aktarımı mümkün olacaktır.

C.Kabahatler Kapsamındaki Değişiklikler

KVKK’nın 9. maddesi ile kişisel verilerin yurt dışına aktarılması konusundaki anlayış kapsamında bir değişikliğe gidilmiş olup yeterlilik kararının bulunmaması durumunda belirtilen uygun güvencelerden biri olarak belirtilen “Kurul tarafından ilan edilen hususları ihtiva eden standart sözleşmenin varlığı.” uyarınca düzenlenen standart sözleşmenin akdedildiğine ilişkin olarak 5 (beş) iş günü içerisinde Kurum’a bildirim yapılması gerekmektedir. 

KVKK’nın Kabahatler” başlıklı 18. maddesi kapsamında yapılan değişiklik ile işbu bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmolunacağı düzenlenmiş olup değişiklikten önce KVKK’nın 18/2. maddesi uyarınca idari para cezaları yalnızca veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanmakta iken yapılan değişiklik ile bildirim yükümlülüğüne ilişkin olarak öngörülen idari para cezasının veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı düzenlenmiştir

D.Kurul Kararlarına Karşı Başvurulacak Mahkemede Değişiklik

Kurulca verilen idari para cezası kararlarına karşı sulh ceza hâkimliğine başvuru yerine idare mahkemelerine dava açılması imkânı getirilmiştir.
1 Haziran 2024 tarihi itibarıyla sulh ceza hâkimlikleri önünde bulunan dosyalar, bu hâkimliklerce nihai karara bağlanacaktır.
Kanun’un mevcut halindeki uygulamada Kurul tarafından verilen kararlara karşı sulh ceza hakimliklerine başvuru yapılıyordu. Ancak sulh ceza hakimliklerinin mevcut dosya yükleri karşısında etkin bir denetim  ve yargılama yapmakta zorlandıkları gözlemleniyordu. Değişiklikle birlikte  görevlendirilen idari yargı mercilerinin  daha isabetli bir denetim mekanizması getireceği düşünülmektedir.

Yürürlük ve Geçiş Hükümleri

KVKK’da yapılan değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecektir. Bu doğrultuda, Kurul tarafından uygulanan idari para cezalarına ilişkin 1 Haziran 2024 tarihi itibarıyla sulh ceza hakimliklerinde görülmekte olan başvurular, bu hakimliklerce karara bağlanacaktır.

Bununla birlikte, KVKK’daki mevcut düzenleme uyarınca ilgili kişinin genel açık rızası alınarak yapılan yurt dışına aktarımlar, 1 Eylül 2024 tarihine kadar yapılmaya devam edilebilecektir. 1 Eylül 2024 tarihi itibarıyla yurt dışına aktarımların, yukarıda belirtilen esaslara uygun olarak yapılması gerekmektedir.

Kanun metni:

https://cdn.tbmm.gov.tr/KKBSPublicFile/D28/Y2/KanunMetni/48c107c3-a4dc-468e-bcf2-f7c8c24af1b0.htm

Gerek kamu kurumlarının gerekse şirketlerin kanun kapsamında yapılan bu köklü değişikliklere ivedi şekilde uyum sağlaması büyük önem arz etmektedir.

Saygılarımızla.

Av. Esra Ülkü BAYRAM

Editör: Av. Esra Ülkü Bayram