8. Yargı Paketi Kapsamında 6698 Sayılı Kişisel Verilerin Korunması Kanunu’ndaki Değişiklik Teklifleri Hakkında Hukuki Bilgilendirme
Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (“Kanun Teklifi” veya “Yargı Paketi”), 16 Şubat 2024 tarihinde Türkiye Büyük Millet Meclisi Başkanlığına sunulmuştur. Yargı Paketi’nin 33, 34, 35 ve 36. maddeleri uyarınca 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) değişiklik öngörülerek 2016/679 Sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) daha uyumlu bir kanun amaçlanmış olup 21 Şubat 2024 tarihi itibarıyla Kanun Teklifi herhangi bir değişiklik yapılmaksızın kabul edilmiştir.
Yayınlanma Tarihi: 23/02/2024

I. Kişisel Verilerin Korunması Kanunu Neden Değişiyor?

 

KVKK, 1995 Tarihli 95/46/AT sayılı Avrupa Parlamentosu ve Konsey Direktifi (“Direktif”) esas alınarak hazırlanmış ve 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Ancak Direktif, KVKK’nın yürürlüğe girmesinden yalnızca iki sene sonra yürürlükten kaldırılmış, 28 Mayıs 2018 tarihinde Avrupa Birliği’nde GDPR yürürlüğe girmiştir. GDPR’ın Direktif’e göre daha kapsayıcı olması sebebiyle KVKK hükümleri veri koruma mevzuatı bakımından yetersiz kalmaya başlamıştır. Bu sebeple; KVKK’nın düzenlemelerini kademeli bir şekilde GDPR’a yakınlaştırmak amacıyla işbu değişiklik öngörülmüştür.

 

II. Kişisel Verilerin Korunması Kanunu Hangi Maddeleri Değişti?


Madde 6 – Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Mevcut KVKK'nın 6. maddesinin 3.fıkrası yürürlükten kaldırılarak, eski sistemde olduğu gibi sağlık ve cinsel hayata ilişkin kişisel veriler ile diğer özel nitelikli kişisel veriler arasındaki ayrım ortadan kaldırılmıştır. Böylelikle, KVKK kapsamında tüm özel nitelikli kişisel verilerin işlenmesi aynı kişisel veri işleme şartlarına tabi tutulmuştur. Mevcut KVKK'nın 6. maddesinin 2. fıkrası değiştirilerek, özel nitelikli kişisel veri işleme sistematiği değiştirilmiş ve özel nitelikli kişisel verilerin işlenmesi yasaklanmıştır. Bir başka deyişle, bundan böyle özel nitelikli kişisel verilerin işlenme şartlarından değil, işlenebileceği istisnai durumlardan bahsedilebilecektir. Bu yasağın istisnaları KVKK’nın yeni 2'nci fıkrasında düzenlenmiştir. Kabul edilen Yargı Paketi kapsamında, özel nitelikli kişisel veri işleme istisnaları aşağıdaki gibidir:

  • İlgili kişinin açık rızasının olması,
  • Kanunlarda açıkça ögörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişinini alenileştirdiği kişisel verilerine ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanıllması veya korunması için zorunlu olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanların hukuki yükümlülüklerini yerine getirmesi için zorunlu olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş veoluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Madde 9 – Kişisel Verilerin Yurt Dışına Aktarımı

Mevcut KVKK'nın 9. maddesi tamamendeğiştirilerek yurt dışına kişisel veri aktarımı için benimsenen güvenli ülke listesi – taahhütname - açık rıza sistematiği terk edilmiş ve yeterlilik kararı – uygun güvenceler – arızi haller sistematiği benimsenmiştir. Mevcut KVKK’da madde 9’da yer alan “yeterli koruma bulunan ülke” ifadesi ise “yeterlilik kararı” olarak değiştirilmiş ve işbu kararın Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından her dört senede bir tekrardan değerlendirileceği düzenlenmiştir. Tüm bunlara ek olarak yeni KVKK madde 9 düzenlemesi uyarınca yurt dışına veri aktarımı için aşağıdaki yöntemler belirlenmiştir:


1. Yeterlilik Kararı: KVKK’nın 5. ve 6. maddesindeki şartlar sağlanmak kaydıyla aktarım gerçekleşecek ülke, uluslararası kuruluş veya ülke içerisindeki sektör hakkında Kişisel Verileri Koruma Kurulu tarafından Yeterlilik Kararı verilmiş olması,


2. Yeterlilik Kararının Bulunmaması Halinde: KVKK’nın 5. ve 6. maddesindeki şartlar sağlanmak kaydıyla aktarım gerçekleşecek ülkede ilgili kişilerin haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması şartıyla aşağıdaki yöntemler ile kişisel veriler yurt dışına aktarılabilir:


  • Uluslararası Sözleşme Niteliğinde Olmayan Sözleşmeler (Yurt Dışı ve Türkiye’deki kamu kurum, kuruluş, meslek kuruluşları ve uluslararası kuruluşlar arasında imzalanacak olan)
  • Bağlayıcı Şirket Kuralları (Ortak ekonomik faaliyet içerisinde olan grup şirketlerin uymakla yükümlü oldukları)
  • Standart Sözleşme (Kurul tarafından ilan edilecek hususları içeren)
  • Taahhütname(Yeterli koruma sağlayacak hükümler yer alan ve Kurul tarafından onaylanan)

3. Yukarıdaki Şartların Sağlanamaması Halinde: Arizi (geçici) olmak kaydıyla aşağıdaki durumlar kapsamında kişisel veriler yurt dışına aktarılabilecektir:


  • İlgili kişinin muhtemel riskler hakkında aydınlatılması kaydıyla aktarıma açık rızasının olması,
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi ile alınacak sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
  • Aktarımın üstün bir kamu yararı için gerekli olması,
  • Bir hakkında tesisi, kullanılması veya korunması için aktarımın zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, mevzuat kapsamında sicile erişim için gerekli şartların sağlanması kaydıyla kişinin talebi üzerine aktarım yapılması.

 

KVKK’nın yeni 9. maddesinin son fıkrasında; usul ve esasların yönetmelik ile düzenleneceği belirtilerek yurt dışına kişisel veri aktarımına ilişkin bir yönetmeliğin yayımlanacağı anlaşılmaktadır. Ayrıca; ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda ancak ilgili kamu kurum/kuruluşunun izni alınarak Kişisel Verilerin Korunması Kurulu izni ile aktarım gerçekleşebileceği düzenlenmiştir.


Madde 18 – Kabahatler

Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezalarına karşı itiraz yolu olarak İdare Mahkemeleri öngörülmüştür. Yurt dışına veri aktarımı için işbu yargı paketinde öngörülen yeni yollardan biri olan standart sözleşme hükümleri için Kurul’a 5 gün içerisinde bildirimde bulunmayanlar (hem veri sorumlusu hem veri işleyen bakımından) hakkında 50.000 TL – 1.000.000 TL arasında idari para cezası öngörüleceği ifade edilmiştir.


Eklenecek Madde Geçici Madde 3

Yurt dışına veri aktarımına ilişkinolarak yeni düzenlemeye adaptasyon için 1 Eylül 2024’e kadar süre tanınarak halihazırdaki KVKK’nın 9. maddesinin bu tarihe kadar yürürlükte kalması öngörülmüştür. İşbu yargı paketi ile KVKK m. 18’de her ne kadar Kişisel Verileri Koruma Kurulu kararlarına itiraz için İdare Mahkemeleri yetkili mahkeme olarak belirlenmişse de 1 Haziran 2024 tarihinde halen Sulh Ceza Hakimliğinde görülmekte olan dosyalar bakımından dosyaların işbu hakimliklerde görülmeye devam etmesi öngörülmüştür.

 

III. Değişiklik Talep Edilen Ancak Kabul Olmayan Düzenlemeler Nelerdi?

 

KVKK’nın 28. maddesinde işbu kanunun uygulanmayacağı haller düzelenmiştir. Yargı Paketi görüşmeleri devam ederken ise 28/1-d maddesindeki “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi.” ifadesine “mesleki faaliyetlerikapsamında avukatlar” ifadesinin eklenmesi teklif edilmişse de kabul edilmemiştir. Buna ek olarak, Kanun Teklifi’nde yer alan 6/3-e (Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması) ve 6/3-g (Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş yada oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması) maddelerinin çıkarılması teklifi reddedilmiştir.

 

Daha detaylı bilgi almak için bizimle buradan iletişime geçebilirsiniz.

Yasal Uyarı | Çerez Politikası | Kullanım Koşulları | Kişisel Verilerin İşlenmesi Hakkında Aydınlatma Metni | © 2024 DL Avukatlık Bürosu