Kişisel Verilerin Korunması Kanunu’nda Beklenen Değişiklikler

Adalet Komisyonu, Anayasa Komisyonu ve Plan ve Bütçe Komisyonu tarafından incelendikten sonra, Kişisel Verilerin Korunması Kanunu’nda (“Kanun“) uzun zamandır beklenen değişiklikleri içeren Değişiklik Teklifi TBMM’ye sunulmuş olup, ilgili Teklifin 1 Haziran 2024 tarihinde yürürlüğe girmesi planlanmaktadır.

Değişiklik teklifinin olduğu gibi kabul edilmesi halinde, veri sorumlularına özel nitelikli kişisel verilerin işlenmesi, yurt dışına veri aktarımı, idari yaptırımlar ve idari yaptırımlara karşı yapılacak başvurular gibi birçok hususta yeni uygulamalar gündeme gelecek. Bu kapsamda, veri sorumlularının Kanun’a uyum için yaptıkları çalışmaları gözden geçirmeleri, aydınlatma metinlerini güncellemeleri, yurt dışı aktarımın taraflarıyla Kişisel Verileri Koruma Kurumu’na (“Kurum”) sunulacak standart sözleşme hükümlerini kabul ederek bu hükümleri Kurum’a bildirmeleri gerekebilecektir. Ayrıca, yurt dışı aktarımı bakımından bildirim yükümlülüğünün ihlal edilmesi halinde veri işleyenler hakkında da idari para cezası uygulanması da teklifte yer alıyor. Veri sorumlularının ve veri işleyenlerin süreci yakın şekilde takip etmesi ve veri işleme süreçlerini değişikliklere uygun hale getirmek amacıyla çalışmalara başlaması önem arz etmektedir.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel verilerin ancak aşağıda belirtilen hallerin bulunması durumunda işlenebileceği düzenlenecektir:

• İlgili kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
• İstihdam, iş ve sosyal güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
• Siyasi parti, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Özel nitelikli kişisel verilerin işlenebilmesi için yukarıda belirtilen hallerden en az birinin olması gerektiği aksi takdirde, özel nitelikli kişisel verilerin işlenmesinin yasak olduğu açıkça düzenlenmiştir.

Yurt Dışı Veri Aktarımı

Değişiklik Teklifi ile kişisel verilerin yurt dışına aktarımına ilişkin de kapsamlı düzenleme yapılması planlanmaktadır. Buna göre;

• Ülkelere ek olarak, Kişisel Verileri Koruma Kurulu’nun (“Kurul”) Yeterlilik kararlarının uluslararası kuruluş veya ülke içerisindeki sektörler hakkında da verilebileceği, verilebilecek bu kararlara uygun olarak yurt dışına veri aktarımı yapılabileceği,
• Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşlarının yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile yapacağı uluslararası sözleşme niteliğinde olmayan anlaşmaların varlığı halinde de Kurul’dan izin alınması kaydıyla yurt dışına veri aktarılabileceği,
• Kurul’un yetkilerine dayanarak alternatif bir mekanizma olarak kabul ettiği bağlayıcı şirket kurallarının da Kanun’a eklenmesi, Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı halinde, ortak ekonomik faaliyette bulunan teşebbüs (şirketler topluluğu) bünyesindeki şirketlerin bu kurallar kapsamında yurt dışına veri aktarabileceği,
• İlgili kamu kurum ve kuruluşunun görüşü alınarak, Türkiye’nin ve ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda da Kurul’un izni ile verilerin yurt dışına aktarılabileceği,
• En dikkat çekici değişiklik önerisi olarak ise, Kurul tarafından içeriği belirlenecek ve ilan edilecek standart bir sözleşmenin veri aktarımının tarafları arasında imzalanması halinde de, 5 iş günü içerisinde Kurum’a bildirilmesi kaydıyla, kişisel verilerin açık rıza aranmaksızın yurt dışına aktarılabileceği düzenlenmektedir.

Bunun yanı sıra, yurt dışı aktarımının belirlenen prensiplere uygun olmadığı aşağıda belirtilen bazı istisnai durumlarda da yurt dışı aktarımı yapılabileceği hüküm altına alınmıştır;

• İlgili kişilerin muhtemel riskler hakkında bilgilendirilmesi kaydıyla, yurt dışına veri aktarımına açık rıza vermeleri,
• Yurt dışına veri aktarımının ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
• Yurt dışına veri aktarımının ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
• Yurt dışına veri aktarımının üstün bir kamu yararı için zorunlu olması,
• Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin yurtdışına aktarılmasının zorunlu olması,
• Fiili imkânsızlık nedeniyle rıza veremeyecek durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
• Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla yurtdışına veri aktarımı yapılması.

Özel nitelikteki bu düzenlemelerin öncelikli olarak uygulanacağı belirtilmek suretiyle, Değişiklik Teklifi’nin kabul edildiği durumda da veri sorumlularının ve veri işleyenlerin diğer mevzuattan kaynaklanan sınırlamaları olabileceği kabul edilmiştir.

Kurum’un yurt dışı aktarımına ilişkin usul ve esasları, ayrı bir yönetmelik ile detaylı olarak düzenlenmesi beklenmektedir.

Yeni İdari Para Cezası

Yukarıda belirtildiği üzere veri sorumluları ve veri işleyenler tarafından yurt dışı aktarımı için imzalanabilecek standart sözleşmeleri 5 iş günü içerisinde Kurum’a bildirme yükümlülüğü getirilmiş olup, bu yükümlülüğe aykırılık halinde, hem veri sorumluları hem de veri işleyenler hakkında 50.000.- TL’den 1.000.000.- TL’ye kadar idari para cezası uygulanabileceği düzenlenmiştir.

Yargı Yolu

Kanun uyarınca Kurul’un idari para cezasına ilişkin kararlarına karşı ancak sulh ceza hakimliklerine başvurulabilmekte olup, idari yargı yoluna ancak Kurul’un para cezası ile birlikte ya da sadece başka bir idari yaptırım uygulaması halinde gidilebilmektedir. Ancak, Değişiklik Teklifinin olduğu gibi kabul edilmesi halinde, Kurul’un idari para cezalarına karşı da idare mahkemelerinde dava açılabileceği düzenlenmektedir.

Diğer yandan, 1 Haziran 2024 itibariyle sulh ceza hakimlikleri nezdinde görülmekte olan başvurular, bu hakimliklerce görülmeye devam edecektir.

Sonuç olarak; Değişiklik Teklifi, Kanun’u Avrupa Birliği Genel Veri Koruma Tüzüğü’ne yaklaştırmaktadır. Öte yandan, yeni düzenlemeler ile birlikte, Kanun’a uyum amacıyla hazırlanan aydınlatma metinleri ve rıza formları açısından da değişiklik yapılması gerekeceği aşikardır. Ayrıca, özellikle yurt dışına aktarıma ilişkin Avrupa Birliği Genel Veri Koruma Tüzüğü uygulamasından farklı olarak standart sözleşmelerin Kurum’a bildirilmesi zorunluluğuna dikkat edilmesi önem arz etmektedir.

Saygılarımızla,