Kişisel Verilerin Korunması Kanunu Değişiyor!

Kamuoyunda 8. Yargı Paketi olarak da bilinen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi, 2 Mart 2024 günü Türkiye Büyük Millet Meclisi Genel Kurul onayından geçti.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) önemli değişiklikler içeren kanun değişikliklerinin Cumhurbaşkanlığı tarafından onaylanmasını takiben Resmi Gazete’de yayımlanarak 1 Haziran 2024 tarihinde yürürlüğe girmesi beklenmektedir.

Kanun’da yer alan önemli değişiklikler aşağıdaki başlıklar altında özetlenmiştir:

a) Özel Nitelikli Kişisel Verilerin İşlenmesi

Kanun değişikliği ile özel nitelikli kişisel veri tanımında ve özel nitelikli kişisel veri kategorilerinde bir değişiklik yapılmamakta, yalnızca özel nitelikli kişisel verilerin işlenme şartları yeniden düzenlenmektedir. Bu kapsamda, özel nitelikli kişisel verilerin işlenme şartlarında, veri kategorileri arasında bir ayrıma gidilmeden veri işleme şartlarının tüm özel nitelikli kişisel veriler bakımından geçerli olacak şekilde düzenlendiği görülmektedir.

Kanun değişikliğinin gerekçesine bakıldığında, mevcut düzenleme ile özellikle sağlık verilerinin işlenmesiyle ilgili ihtiyaçlara cevap verememesine vurgu yapılmakta ve başta sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanları olmak üzere sağlık verisine duyulan ihtiyaç gündeme getirilmektedir.

Kanun teklifi uyarınca özel nitelikli kişisel verilerin işlenmesi;

a) İlgili kişinin açık rızasının olması.
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlaması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.

Gerekçede, ilgili veri işleme şartları örneklendirilmiştir. 2559 sayılı Polis Vazife ve Salâhiyet Kanununun 5 inci maddesi uyarınca kişilerin parmak izlerinin alınması “kanunlarda açıkça öngörülme” kapsamında değerlendirilirken, iş sözleşmesinin sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması bakımından işverenin eski işçisine ait sağlık verilerini saklamaya devam etmesi durumu d bendi kapsamında değerlendirilmiştir.

Gerekçeye göre, işverenlere verilen engelli veya hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından kişilerin sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işverenlerce işlenmesi durumu f bendi kapsamında değerlendirilmektedir.

b) Yurtdışı Veri Aktarımları

Kanun değişikliğinin gerekçesinde, mevcut durumda yurt dışına veri aktarılmasının sadece ilgili kişilerin açık rızalarının alınmasına bağlı hale geldiği ve bunun ticari hayatı zorlaştırdığı hususlarına vurgu yapıldığı görülmektedir. Hem çağın gerekliliklerine ve teknolojiye ayak uydurabilmek hem de Avrupa Birliği Genel Veri Koruma Tüzüğü’ne uyum sağlayabilmek adına yurtdışına veri aktarımı bakımından yeni mekanizmaların hayata geçirilmesi öngörülmektedir.

Yeni düzenleme ile birlikte yurtdışına veri aktarılabilmesi için kural olarak, Kanun’da yer alan veri işleme şartlarından birinin varlığı ve kişisel verilerin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında “yeterlilik kararı” (yeterli veri korumanın bulunması hali) verilmiş olması gerekmektedir. Kanun’un önceki halinden farklı olarak yabancı ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilmesine imkân tanınmaktadır. Yapılan değişiklik ile yeterlilik kararı alınma usulü ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından öncelikle dikkate alınacak kriterler de belirlenmiştir.

Yeterlilik kararının bulunmadığı durumlarda yurtdışına kişisel veriler ancak;

i. Kanun’da yer alan veri işleme şartlarının bulunması,

ii. Aktarımın yapılacağı ülkede de ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması ve

iii. Kanun Teklifi’nde sayılan usuli güvencelerden birinin sağlanması

halinde hukuka uygun olarak aktarılabilecektir.

Yeni düzenleme ile Kanun’da dört usuli güvenceye yer verilmiştir.

1) İlk usuli güvence, kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığıdır. Bu ilk ihtimalde, uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığına ek olarak Kurul’un izin vermesi de gereklidir.

2) İkinci usuli güvence ise bağlayıcı şirket kurallarının varlığıdır. Bağlayıcı şirket kuralları, “tüm teşebbüs grubundaki şirketlerin uymakla yükümlü oldukları ve kişisel verilerin korunmasına ilişkin hükümler” olarak tanımlanmıştır. Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı halinde, aynı grubun yabancı ülkedeki bir diğer şirketine kişisel veri aktarılması mümkündür.

3) Üçüncü usuli güvence “Standart sözleşme” (Standard Contractual Clauses) yöntemidir. Buna göre, Kurul tarafından ilan edilen standart sözleşmenin imzalanması suretiyle ayrıca bir izne ihtiyaç olmaksızın veri aktarılması mümkün olabilecektir. Standart sözleşme; veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva edecektir. Standart sözleşmelerin Kurul’a bildirilmesi için veri işleyen veya veri sorumlusuna imza tarihinden itibaren beş iş günü süre tanınmıştır.

4) Son usuli güvence ise yazılı taahhütnamedir. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi durumunda da yeterlilik kararı bulunmayan bir ülkeye kişisel veri aktarılabilmesi mümkündür.

Yeni düzenleme ile hem yeterlilik kararı hem usuli güvencenin bulunmadığı istisnai durumlarda yurtdışına nasıl kişisel veri aktarılabileceği de düzenlenmiştir. İlgili kanun maddesinde sayılan durumlarda, tek veya birkaç sefer ve süreklilik taşımayacak şekilde, yurt dışına veri aktarılmasına imkân sağlanmaktadır. Ancak, burada yer alan istisnalardan bazıları kamu kurum ve kuruluşlarına uygulanamamaktadır.

Kanun’da yapılan değişiklikte yurtdışı veri aktarımlarının daha detaylı olarak yönetmelikle düzenlenmesi öngörüldüğü için veri aktarımı konusunda Kurul tarafından hazırlanacak rehber ve yönetmeliklerin yol gösterici olması beklenmektedir.

c) İdari Para Cezaları ve Bunlara Karşı Başvurulacak Hukuki Yol

Söz konusu değişiklik ile yukarıda açıklanan standart sözleşme usulünde, standart sözleşmenin imzalanmasından itibaren beş iş günü içerisinde veri sorumlusu veya veri işleyen tarafından Kurul’a bildirilmemesi durumunda idari para cezası uygulanacağı düzenlenmiştir. Söz konusu idari para cezası, veri işleyenlere uygulanabilmesi bakımından Kanun’un uygulanması kapsamında bir ilk niteliğindedir.

Kanun kapsamında uygulanan idari para cezalarına karşı sulh ceza hakimlikleri yerine idare mahkemelerinde dava açılması getirilen en önemli değişiklikler arasındadır. 

Son olarak öngörülen bu değişikliklerin aşamalı olarak yürürlüğe girmesi düzenlenmiştir.

Yurtdışına aktarıma ilişkin yürürlükteki Kanun’un 9. Maddesi 01/09/2024 tarihine kadar yürürlükte kalacaktır.

İdari para cezalarına karşı başvurulacak hukuki yol bakımından ise 01/06/2024 tarihine kadar sulh ceza hakimliklerinde görülmekte olan başvuruların, bu hakimliklerde görülmeye devam edilmesi planlanmaktadır.

Özel nitelikli kişisel verilerin işlenme şartları ve yurt dışı aktarımını düzenleyen hükümler ise yine 01/06/2024 tarihinde yürürlüğe girecektir.