ANALİZ&GELİŞMELER

Kişisel verilerin korunması kanununda yapılan değişiklikler

ANALİZ&GELİŞMELER

ana hizmet

7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun kapsamında, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) ilişkin yapılan değişiklik teklifi1 Türkiye Büyük Millet Meclisi tarafından kabul edilerek, 12 Mart 2024 tarihli ve 32487 sayılı Resmi Gazete’de yayınlanmıştır. Ekonomi Reformları Eylem Planı ve İnsan Hakları Eylem Planı çerçevesinde Kanun’un bazı maddelerinde yapılan değişiklikler, Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumlaştırma süreci açısından büyük önem arz etmektedir.  

Kanun’da yapılan değişiklikler (i) özel nitelikli kişisel verilerin işlenmesi, (ii) kişisel verilerin yurt dışına aktarımı ve (iii) Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarına itiraza ilişkin ilgili maddeleri kapsamaktadır.  

 

ÖZEL NİTELİKLİ KİŞİSEL VERİLER İÇİN YENİ VERİ İŞLEME ŞARTLARI  

İlk olarak Kanun’un 6.maddesi kapsamında sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler ile diğer özel nitelikli kişisel veriler ayrımı kaldırılmış, özel nitelikli kişisel veri kavramı yeknesaklaştırılmıştır.  

Kural olarak özel nitelikli kişisel verilerin işlenmesi yasak olmakla birlikte, yeni yapılan düzenlemeyle özel nitelikli kişisel verilerin işlenmesi için getirilen istisnalar genişletilmiştir ve bu kapsamda özel nitelikli kişisel verilerin aşağıdaki şartlardan birinin varlığı halinde işlenebileceği düzenlenmiştir. 

  • İlgili kişinin açık rızasının olması,  
  • Kanunlarda açıkça öngörülmesi, 
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,  
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,  
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,  
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, 
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,  
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.  

 

Yapılan düzenleme ile özel nitelikli kişisel verilerin hukuki işleme sebepleri genişletilmiştir. İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için özel nitelikli kişisel verilerin işlenmesinin zorunlu olmasının yeni bir hukuki işleme sebebi olarak belirlenmesi işveren tarafından işlenen sağlık verilerinin yalnızca açık rızaya dayanılarak ya da işyeri hekimi aracılığı ile işlenmesine yönelik mevcut uygulamada yaşanan sorunlara çözüm getirdiği söylenebilir. Bu kapsamda işveren veri sorumluları tarafından daha önce açık rızaya dayalı olarak işlenen sağlık verilerine ilişkin süreçlerin gözden geçirilmesi ve ilgili metinlerin güncellenmesi gerekmektedir. 

KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINDA YENİ YÖNTEMLER  

Bilindiği üzere kişisel verilerin yurt dışına aktarılmasının neredeyse tek yolu ilgili kişinin açık rızasının alınmasıydı. Zira Kurul tarafından yeterli korumanın bulunduğu ülkeler listesi yayımlanmadığı için yurt dışına aktarım, istisnai haller dışında ancak Kurul’a taahhütname veya bağlayıcı şirket kuralları sunmak suretiyle, Kurul’un izni ile mümkün oluyordu. Kanun değişikliği ile beraber yurt dışına aktarım için GDPR’da da düzenlenen standart sözleşme ve yeterlilik kararı gibi yeni yöntemler getirilmiş, dahası, herhangi bir aktarım yöntemi bulunmaması halinde dahi verilerin arızi olarak yurt dışına aktarılabilmesi için yeni veri aktarım şartları düzenlenmiştir. Bu bağlamda ilgili değişiklikler: 

  • Yeterlilik Kararı: Bu yöntem ile kişisel verilerin yurt dışına aktarılabilmesi için Kurul’un; aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı vermesi gerekmektedir. Kurul’un yeterlilik kararı ve Kanun’un 5. ve 6. maddesinde sayılan şartlardan birinin varlığı ile kişisel verilerin yurt dışına aktarımı mümkün olacaktır. 
  • Standart Sözleşme: Kanun’un 5. ve 6. maddesinde sayılan şartlardan birinin varlığı ve Kurul tarafından ilan edilecek standart sözleşme ile birlikte kişisel veriler yurt dışına aktarılabilecektir. Ancak, bu aktarımın yapılabilmesi için ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma, etkili kanun yollarına başvurma imkânının bulunması ve standart sözleşmenin imzalanmasından itibaren 5 iş günü içerisinde Kurul’a bildirilmesi gerekmektedir.  
  • Yurt Dışına Arızi Aktarım: (i) Yeterlilik kararının, (ii) yurt dışındaki kamu kurum ve kuruluşları, uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya meslek kuruluşları arasında yapılan anlaşmanın, (iii) bağlayıcı şirket kurallarının, (iv) taahhütnamenin ve (v) standart sözleşmenin mevcut olmadığı durumlarda kişisel veriler aşağıdaki şartların varlığı halinde yurt dışına arızi olarak aktarılabilecektir: 
  1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi, 
  2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, 
  3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması, 
  4. Aktarımın üstün bir kamu yararı için zorunlu olması, 
  5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, 
  6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması, 
  7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması. 

Arızi olarak yukarıdaki şartlara dayanan bir aktarımın süreklilik arz etmemesi gerekmektedir. Ayrıca değiştirilen 9. maddede yurt dışına aktarıma ilişkin usul ve esasların yönetmelik ile düzenleneceği ifade edilmiştir.  

KURUL KARARLARINA İTİRAZ SÜRECİ 

Kanun’un 18. maddesinde yapılan değişiklikle birlikte, Kurul tarafından verilen idari para cezalarına yönelik yapılacak itirazlar açısından, sulh ceza hakimlikleri yerine idare mahkemelerinde dava açılması yolu getirilmiştir. Ancak, 1 Haziran 2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam edecektir. 

 

SONUÇ VE DEĞERLENDİRME  

Kanun değişiklikleri 1 Haziran 2024 tarihinde yürürlüğe girecektir. Bunun yanı sıra eklenen geçici madde 3 ile bir geçiş hükmü düzenlenmiştir, buna göre 9.maddenin değişiklikten önceki ilk fıkrası yani yurt dışına aktarım için açık rıza alınmasına ilişkin hüküm ve dolayısıyla madde yürürlüğe girmeden evvel ya da sonrasına alınan açık rızalara dayanılarak 1 Eylül 2024 tarihine kadar yurtdışına veri aktarımına imkan tanınmıştır.  

Yürürlük tarihine kadar veri sorumlularının özel nitelikli kişisel veri işleme ve yurtdışına aktarıma ilişkin süreçlerini gözden geçirmeleri, gerekmesi halinde aydınlatma ve açık rıza metinleri ile diğer kurumsal belgelerini güncellemeleri ve yeni mevzuata uyumlu hale getirmeleri gerekmektedir.  

İletişim

Haber & Yayınlar

TÜM HABER & YAYINLARIMIZ