Resmi Gazete'nin 12 Mart 2024 tarihli sayısında yer alan kanun değişikliği ile Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) önemli değişiklikler yapılmıştır. Bu değişiklikler, KVKK'nın Avrupa Birliği'ndeki Genel Veri Koruma Yönetmeliği (“GDPR”) ile uyumlu hale getirilmesi amacıyla gerçekleştirilmiştir. Söz konusu değişikliklerin detaylarını aşağıda sizler için özetledik:
Değişiklikler kapsamında:
Özel nitelikli verilerin işlenme şartları, işlem süreçlerine daha uygun bir şekilde yeniden düzenlenmiştir.
Kişisel verilerin yurt dışına aktarımı için öngörülen "açık rıza öncelikli mekanizma" yerine "yeterlilik kararı > uygun güvence > arızi haller" mekanizması getirilmiştir.
İdari para cezalarına ilişkin yetkili mahkeme, idare mahkemeleri olarak belirlenmiştir.
Belirtilen değişiklikler, AB Genel Veri Koruma Yönetmeliği (GDPR) ile uyum sağlama konusunda ilk adımı temsil etmektedir ve gelecekte KVKK'da daha kapsamlı bir değişiklik yapılacağı öngörülmektedir.
Değişikliklerin uyum süreci kapsamında, şirketlerin kişisel veri işleme süreçlerindeki mahremiyet etki analizi çalışmalarını güncellemeleri ve gerekli dokümantasyon değişikliklerini yapmaları gerekmektedir.
Değişiklik adımıyla birlikte, GDPR'a uyum sağlama yolunda ilk adım atılarak veri işleme süreçlerindeki en güncel ve kritik olan "özel nitelikli kişisel veriler" ve "yurt dışına aktarım" mekanizmalarına dokunuşlar yapılarak, KVKK ilgili başlıklar açısından büyük oranda GDPR ile uyumlu hale getirilmiştir.
Özel Nitelikli Kişisel Verilerdeki Değişiklikler: KVKK Madde 6
KVKK'nın 6. maddesindeki değişiklikle özel nitelikli kişisel verilerin işlenme koşulları genişletilmiş olup özellikle sigortacılık sektörü ile birlikte iş sağlığı, güvenliği ve sosyal hizmetler alanlarında yaşanan sorunların çözümü hedeflenmiştir.
Öncesinde, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenmesi sadece ilgili kişinin açık rızası veya kanunlar tarafından öngörülen hallerde mümkündü. Diğer yandan, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanı, yönetimi ve planlaması amacıyla işlenebiliyordu.
Değişiklikle birlikte, "özel nitelikli kişisel verilerin işlenmesinin yasak olması" ilkesi korunmuş ve bu verilerin işlenmesine ilişkin üç temel şart belirlenmiştir:
Açık Rıza: İlgili kişinin açık rızası,
Kanunlarda Öngörülme: Kanunlarla açıkça öngörülen haller (örneğin, Adli Sicil Kanunu'na göre ceza mahkûmiyetine ilişkin verilerin işlenmesi),
Kamu Sağlığı: Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması.
Ayrıca, özel nitelikli verilerin işlenmesine ilişkin yeni şartlar da eklenmiştir:
Fiili İmkansızlık: Rızası açıklanamayacak durumda olan kişinin hayatı veya beden bütünlüğünün korunması için zorunlu olması,
Alenileştirme: İlgili kişinin alenileştirdiği ve bu iradeye uygun verilerin işlenmesi,
Hakkın Tesisi: Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
İstihdam ve Sosyal Güvenlik: Hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
Dernek ve Vakıflar: Belirli amaçlarla kurulan kuruluşların faaliyetlerine uygun olarak üyelerine ve mensuplarına ilişkin bilgilerin işlenmesi.
Kişisel Verilerin Yurtdışına Transferi İle İlgili Değişiklikler: KVKK Madde 9
Kişisel Verilerin Korunması Kanunu'nun 9. maddesinde yapılan değişiklikler, kişisel verilerin yurtdışına aktarımı koşullarını yeniden düzenleyerek, açık rıza temelli yaklaşımdan "yeterlilik kararı>uygun güvenceler> arızi haller" şeklinde bir sistematiğe dönüştürmeyi öngörmektedir.
Daha önce, kişisel verilerin yurtdışına aktarılabilmesi için neredeyse tek yöntem olan açık rıza gerekliliği bulunmaktaydı. Ancak, Kurul tarafından güvenli ülke statüsü verilmemiş ve taahhütname onayları sınırlı kalmıştı.
Değişikliğin gerekçesinde, bu durumun iş dünyasında sıkça kullanılan ve yurtdışında sunulan bulut tabanlı yazılım ve uygulamaların hukuka uygun kullanımını zorlaştırdığı ve ülkemize yönelik yatırımları engellediği ifade edilmiştir. Bu nedenle, Avrupa Veri Koruma Yönetmeliği (GDPR) ile uyumlu bir mekanizma oluşturulmuştur.
Yeni düzenlemede, yurtdışına veri aktarımının usul ve esaslarının ayrı bir yönetmelikle düzenleneceği belirtilmektedir.
Kişisel Verilerin Korunması Kanunu'nun 9. maddesinde yapılan değişiklikler, kişisel verilerin yurtdışına aktarımı sürecinde önemli bir değişimi ifade etmektedir.
Bir başka önemli hüküm olarak, kişisel verilerin yurtdışına aktarılmasından sonra gerçekleştirilen işlemler açısından yukarıdaki güvencelerin sağlanacağını ve bu maddenin hükümlerinin uygulanacağını belirtmek gereklidir.
Bu çerçevede, Değişiklikler ile birlikte yurt dışına kişisel veri aktarımı sırasında aşağıdaki şartlardan birinin varlığının aranacağı belirtilmiştir.
Yeterlilik Kararının Varlığı
Bu kapsam altında, kişisel verilerin işlenme şartları (KVKK m.5) ile özel nitelikli kişisel verilerin işlenme şartlarından (KVKK m.6) birinin mevcut olması VE aktarımın yapılacağı ülke, ülke içindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararının bulunması gerekmektedir.
Önceki düzenlemeye kıyasla, yabancı bir ülkenin tamamı yerine o ülke içinde belirli bir sektör veya uluslararası kuruluş için de yeterlilik kararı verilmesine olanak sağlanmaktadır.
Bu durum, Değişiklik Gerekçesi'nde "Ülkemizdeki otomotiv sektörünün yoğun ticari ilişkiler içinde olduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü için yeterlilik kararı verilmesinin mümkün hale geldiği" şeklinde açıklanmıştır.
Yeterlilik Kararı Bulunmadığı Durumlar ve Alternatif Güvenceler
Herhangi bir yeterlilik kararının bulunmadığı durumda, kişisel verilerin işlenme şartları (KVKK m.5) ile özel nitelikli kişisel verilerin işlenme şartlarından (KVKK m.6) birinin varlığı ve aktarımın yapılacağı ülkede etkili biçimde ilgili kişinin haklarını kullanma ve kanun yollarına başvurma imkanının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanması halinde kişisel verilerin veri sorumluları veya veri işleyenler tarafından yurt dışına aktarılması mümkün hale gelmiştir.
Uygun Güvencelerin Detayları
Kamu Kurum ve Kuruluşları Arası Anlaşmalar: Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan anlaşmalar mevcut olmalıdır. Bu tür anlaşmaların çerçevesinde kişisel verilerin aktarılması için Kurul'un izni gereklidir.
Bağlayıcı Şirket Kuralları: Aynı teşebbüs bünyesindeki şirketler arasında Kurul tarafından onaylanmış bağlayıcı şirket kurallarının varlığı halinde, KVKK 5 ve 6. maddelerinde belirtilen veri işleme şartlarından birinin bulunması koşuluyla, Kurul'dan izin alınmaksızın şirketler arası veri aktarımı yapılabilir.
Standart Sözleşme: Kurul tarafından ilan edilen standart sözleşmenin taraflarca imzalanması durumunda, izne gerek kalmaksızın veri aktarımı gerçekleştirilebilir. Ancak, bu sözleşmenin imzalanmasından itibaren 5 iş günü içinde Kişisel Verileri Koruma Kurumu'na (Kurum) bildirilmesi zorunludur. Sözleşmenin imzalanmasının ardından 5 iş günü içinde Kurum'a bildirimde bulunulmaması durumunda, 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanabilir. Bu yaptırımın veri işleyenler açısından da geçerli olduğu unutulmamalıdır.
Yazılı Taahhütname: Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi gereklidir.
Yeterlilik Kararı ve Uygun Güvencelerin Olmadığı Özel Durumlar
Yeni düzenlemeye göre, bazı istisnai durumlarda, yeterlilik kararı alınamadığı ve uygun güvenceler sağlanamadığı zaman, veri sorumluları ve veri işleyenlere tek veya birkaç kez tekrarlanmayacak şekilde, arızi durumlarda yurt dışına veri aktarma izni verilmektedir.
Bu değişiklikle birlikte, örneğin, bir Türk şirketin yurt dışındaki bir iş ortağıyla ticari faaliyetleri yürütmek amacıyla belirli çalışan bilgilerini paylaşması gibi arızi durumlar göz önünde bulundurulmuştur.
Kişisel verilerin yurt dışına aktarılabilmesi için belirli koşulların sağlanması gerekmektedir. Bu koşullar arasında şunlar bulunmaktadır:
İlgili kişinin muhtemel riskler hakkında bilgilendirilmesi ve açık rıza vermesi,
İlgili kişi ile veri sorumlusu arasında bir sözleşmenin ifası veya önceden alınan tedbirlerin uygulanması gerekliliği,
İlgili kişinin yararı için bir sözleşmenin kurulması veya ifası zorunluluğu,
Üstün kamu yararı için veri aktarımının gerekli olması,
Bir hakkın tesis, kullanımı veya korunması için aktarımın zorunlu olması,
Rıza beyan edemeyen veya rızasına hukuki değer verilmeyen kişinin hayatı veya beden bütünlüğünün korunması gerekliliği,
Kamu yararı veya meşru menfaati olan kişilerin talepleri doğrultusunda sicil kayıtlarına erişmek için gereken şartların sağlanması.
Bu düzenlemede, belirtilen ilk üç durumun kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerinde uygulanmayacağı da özellikle vurgulanmıştır.
Kurul Kararlarına Karşı Başvurulacak Yargı Yolu’nda Değişiklik: KVKK madde 18
Yapılan değişiklikle birlikte, Kişisel Verileri Koruma Kurulu'nun verdiği idari para cezalarına karşı, idare mahkemelerinde dava açılabileceği hükmü getirilmiştir.
Ayrıca, 01.06.2024 tarihi itibarıyla sulh ceza hakimlikleri önünde bulunan dosyaların, bu hakimliklerce nihai karara bağlanacağı belirtilmiştir.
Geçiş Süreci: KVKK Geçici Madde 3
Değişiklikle birlikte KVKK'ya Geçici Madde 3 eklenmiş ve bir geçiş süreci belirlenmiştir.
Bu bağlamda:
Değişikliklerin 1 Haziran 2024 tarihinde yürürlüğe gireceği,
Kişisel verilerin yurt dışına aktarılmasıyla ilgili açık rızayı aktarım şartı olarak öngören eski KVKK hükmünün (m. 9/1) ise 1 Eylül 2024 tarihine kadar uygulanmaya devam edeceği düzenlenmiştir.
Sonuç olarak:
Bilindiği üzere KVKK'da idari yaptırımlar için parasal üst sınırlar belirlenmiştir. Ancak gelecekteki ikinci değişiklikle, GDPR ile uyum amacıyla idari para cezalarının ciro üzerinden belirlenen bir yüzdeye tabi kılınması öngörülmektedir. Bu sebeple, veri sorumluları ve veri işleyenlerin, ilgili idari yaptırımlarla karşılaşmamaları için uyum sağlamak adına gerekli adımları atmalarının önemli olduğunu düşünüyoruz.
Nergiz Avukatlık Bürosu olarak kurumunuzun bu yeni düzenlemelere uyum sağlama ve kişisel verilerin korunması konusunda gereken danışmanlık hizmetini sunmaktan memnuniyet duyarız. Detaylı bilgi ve destek için bizimle iletişime geçebilirsiniz.