Mevzuat Değişiklikleri

7449 Sayılı Kanun ile Kişisel Verilerin Korunması Alanında Yapılan Değişiklikler

Ankalex Logo EN-2

Kamuoyunda 8. Yargı paketi olarak bilinen yargı alanında köklü düzenlemeler içeren 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“7499 sayılı Kanun”), 12.03.2024 tarihli Resmi Gazete’de yayınlanarak yürürlüğe girdi. Bu yazımız kapsamında, 7499 sayılı Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yapılan değişikliklerin detaylarına yer verilecektir. Ayrıca, 7499 sayılı Kanun Resmi Gazete’de yayınlandıktan sonra hazırlamış olduğumuz karşılaştırmalı tabloya bağlantıyı kullanarak erişebilirsiniz.

Özel Nitelikli Kişisel Verilerin İşlenmesi Şartlarında Değişikliğe Gidilmiştir

7499 sayılı Kanun’un 33. maddesi ile Özel nitelikli kişisel verilerin işlenme şartları” başlıklı KVKK m. 6’da değişikliğe gidilmiştir. Değişiklik öncesinde KVKK m. 6/3, özel nitelikli kişisel verilerin işlenmesini aşağıdaki şarta bağlamıştı:

“(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hallerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.”

Değişiklik sonrasında ise, özel nitelikli kişisel verilen işlenmesi aşağıdaki şartlara tabi kılınmıştır:

  • İlgili kişinin açık rızasının olması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Kişisel Verilerin Yurtdışına Aktarılmasında Aranan Şartlarda Kapsamlı Değişikliğe Gidilmiştir

7499 sayılı Kanun m. 34 ile “Kişisel verilerin yurt dışına aktarılması” başlıklı KVKK m. 9, neredeyse baştan aşağıya değiştirilmiştir. Dolayısıyla kişisel verilerin yurt dışına aktarılmasında aranan şartların da baştan aşağıya değiştirildiğini söyleyebiliriz. KVKK m. 9’da yapılan değişiklikler ve kişisel verilerin yurt dışına aktarılması şartları şu şekildedir:

  • Öncelikle, kişisel verilerin yurt dışına aktarılabilmesi için, KVKK m. 5 ve 6. maddelerde belirtilen şartlardan birinin varlığı aranmaktadır. Ayrıca, aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması da gerekmektedir.

 

  • Yeterlilik kararını ise Kişisel Verileri Koruma Kurulu’nun (“Kurul”) vereceği düzenlenmektedir. KVKK m. 9/3 uyarınca Kurul’un vereceği kararda aşağıdaki usuller uygulanacaktır:
    • Kurul’un vereceği yeterlilik kararı en geç dört yılda bir değerlendirilecektir.
    • Yeterlilik kararı verilirken aşağıdaki hususlar dikkate alınacaktır:
      • Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
      • Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar.
      • Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
      • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
      • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
      • Türkiye’nin taraf olduğu uluslararası sözleşmeler.

 

  • KVKK m. 9/4 uyarınca; yeterlilik kararının bulunmaması durumunda, KVKK m. 5 ve m. 6’da belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. Bu şartlar şu şekildedir:
    • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
    • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
    • Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
    • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

 

  • KVKK m. 9/5 uyarınca imzalanacak standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kişisel Verileri Koruma Kurumu’na bildirilir. 7499 sayılı Kanun m. 35 ile KVKK m. 18’e eklenen hüküm kapsamında; sözleşmeyi Kişisel Verileri Koruma Kurumu’na bildirmeyenler hakkında 0.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacağı hükme bağlanmıştır. Anılan idari para cezası ayrıca, veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında da uygulanacaktır.

 

  • KVKK m. 9/6 uyarınca; veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir. Bu güvenceler şu şekildedir:
    • İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
    • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
    • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
    • Aktarımın üstün bir kamu yararı için zorunlu olması.
    • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
    • Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
    • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

 

  • Son olarak KVKK m. 9/9 uyarınca; kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle de yurt dışına aktarılabilir.

Hazırlayan:

Av. Doğa Can Altınözlü

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir