7499 SAYILI CEZA MUHAKEMESİ KANUNU İLE BAZI KANUNLARDA DEĞİŞİKLİK YAPILMASINA DAİR KANUN İLE 6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNUN’DA YAPILAN DEĞİŞİKLİKLER
A) Genel Olarak
Avrupa Birliği Genel Veri Koruma Tüzüğü’ne ( “Tüzük” , “GDPR” ) daha uyumlu bir hale gelmesi ve güncel ihtiyaçların karşılanması için 7499 sayılı Ceza Muhakemesi ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda ( “Kanun” , ”KVKK” ) bazı değişikliklere gidilmiştir. Bu yazıda yeni düzenleme ile getirilen söz konusu bu değişiklikler incelenecektir.
B) 7499 Sayılı Kanun ile Kişisel Verilerin Korunması Kanunu’ndaki Değişiklikler
1) Kişisel Verilerin Korunması Kanununun 6. Maddesinde Yapılan Değişiklikler
6698 sayılı Kişisel Verilerin Korunması Kanunu’na göre kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veridir. Kişisel veriler, özel nitelikli kişisel veriler ve alelade kişisel veriler olarak ikiye ayrılmıştır. Alelade kişisel verilerin işlenmesinde hukuka uygunluk sebepleri Kanun’un 5. maddesinde düzenlenirken, özel nitelikli kişisel verilerin için hukuka uygunluk sebepleri ise Kanun’un 6. maddesinde düzenlenmiş ve tanımı yapılmıştır. Mevcut düzenlemeye göre özel nitelikli sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilmektedir. Ancak sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında sağlık verisine ihtiyaç duyulmasından dolayı 7499 Sayılı Kanunun 33. maddesi ile KVKK m.6’da değişikliğe gidilmiştir. Bu değişiklik ile Kanun’un 6. maddesinde sayılan özel nitelikli kişisel verilerin işlenmesi yasağının istinasları düzenlenmiştir. Ayrıca m. 6/2 ve 6/3 tek fıkrada birleştirilmiş ve kişisel verilerin işlenmesi yasağının istisnaların kapsamı genişletilerek sınırlı olarak sayılmıştır.
a) Özel nitelikli verilerin işlenmesinde açık rızanın aranması ve kanunda açıkça öngörülen haller
KVKK’nın yürürlükteki 6. maddesinde kanun koyucu, özel nitelikli kişisel verilerin işlenebilmesi için ilgilinin açık rızasını aramıştır. Kişisel verilerin işlenmesi için ilgilinin açık rızasının aranması şartı yeni düzenlemede de muhafaza edilmiştir.
Yürürlükteki 6. maddeye göre sağlık ve cinsel hayat haricinde özel nitelikli kişisel verilerin işlenebilmesi ilgilinin açık rızasının bulunmasına veya kanunlarda öngörülmesi halinde mümkündür. Diğer bir ifadeyle sağlık ve cinsel hayat haricindeki özel nitelikli kişisel verilerin, ilgilinin açık rızasının bulunması veya açık rıza aranmaksızın kanunda öngörülen bir halin bulunması durumunda işlenmesine izin verilirken sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin işlenmesinde kesin olarak ilgilinin açık rızasının bulunması şarttır.
Kanun koyucu, yeni düzenleme ile sağlık ve cinsel hayata ilişkin özel nitelikli veriler ile diğer özel nitelikli veriler ayrımını kaldırmış, sağlık ve cinsel hayata ilişkin kişisel verilerin de ilgilinin rızası aranmaksızın kanunlarda açıkça öngörülen hallerde işlenebilmesinin önünü açmıştır. Kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel verilerin artık işlenebilmesi artık mümkün olacaktır. 7499 sayılı Kanun gerekçesinde de yer verildiği üzere 5352 sayılı Adli Sicil Kanunu uyarınca ceza mahkumiyetine ilişkin verilerin işlenmesi ve 2559 sayılı Polis Vazife ve Salahiyet Kanunu’nun 5’inci maddesi uyarınca kişilerin parmak izlerinin alınması bu bent kapsamında değerlendirilecektir.
b) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından özel nitelikli kişisel verilerin işlenmesi
Yürürlükte bulunan 6. maddede sır saklama yükümlülüğü altında bunan kişiler veya yetkili kurum ve kuruluşlara; sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla özel nitelikli kişisel verilerin işlenmesi için izin verilmiştir. Yeni düzenleme ile bu şart muhafaza edilmiştir.
c) Fiili imkansızlık durumunda özel nitelikli kişisel verilerin işlenmesi
Yürürlükteki Kanun’da alelade kişisel verilerin işlenmesi için öngörülen şartlardan biri olan “Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorluk olması” şartı aynı kanunun 6. maddesine de eklenmiş ve bu şartların mevcudiyeti halinde özel nitelikli kişisel verilerin işlenmesi de mümkün kılınmıştır. Böylece KVKK m.5’e paralel bir düzenleme yapılarak özel nitelikli kişisel verilerin işlenmesi için yeni bir hukuki sebep ortaya çıkmıştır.
Nitekim Kanun’un gerekçesinde de kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi verilerin bu hukuka uygunluk sebebi kapsamında işlenebileceği ifade edilmiştir. Yapılan değişiklikle ilgili kişinin örneğin kan grubu gibi bir sağlık verisinin; bilinci kapalı olduğu için açık rıza vermesi mümkün değilse bu verinin işlenmesi kendisinin ya da bir başkasının hayati menfaatleri için zorunlu ise bu hukuka uygunluk sebebine dayalı olarak verilerin işlenmesi mümkün hale gelmiştir.
d) İlgili kişinin alenileştirdiği özel nitelikli kişisel verilerin işlenmesi
İlgili kişinin özel nitelikli kişisel verilerini alenileştirmesi ve alenileştirme iradesine uygun olarak kişisel verilerin işlenmesi, yeni bir sebep olarak eklenmiştir. Söz konusu bu düzenleme ile KVKK m.5/2/d bendinde açıkça yer almasa da Kişisel Verileri Koruma Kurulu’nun 07.11.2019 tarihli ve 2019/331 sayılı karar özetinde de belirtildiği üzere kişisel verinin alenileştirme amacına uygun işlenmesi gerektiği görüşü, özel nitelikli veriler bakımından kanuni bir dayanak kazanmıştır.
“Şikâyetçinin kişisel verilerine kendisi tarafından daha önce alenileştirilen internet sitesinden ulaşılması halinde dahi Şirket tarafından Şikâyetçinin bu bilgilerinin internet sitesinde bulunma ve alenileştirilme amacıyla kullanılmadığı, diğer bir deyişle Şikâyetçinin mesleki yetkinliğinden faydalanmak için kendisine ulaşılmaya çalışılmadığı, aksine Şirket faaliyetlerine ilişkin randevu talebi ile Şikâyetçinin arandığı anlaşıldığından, Şirket tarafından gerçekleştirilen veri işleme faaliyetinin 6698 sayılı Kişisel Verilerin Korunması Kanununun 5 inci maddesinin (2) numaralı fıkrasının (d) bendi çerçevesinde değerlendirilemeyeceği kanaatine varılmış olup… idari para cezası uygulanmasına…” (07.11.2019 tarihli 2019/331 sayılı kurul kararı)
Ancak belirtmek gerekir ki ilgili kişinin özel nitelikli kişisel verilerinin alenileştirmesi yeterli olmayacaktır. Bu verilerin hukuka uygun olarak aleni hale gelmesi ve alenileştirme iradesine uygun olarak işlenmesi gerekir. Zira bu verilerin ifşa edilerek aleni hale gelmesi hukuka uygun olmayacak ve dolayısıyla da bu verilerin işlenmesi de yine hukuka aykırı olacaktır.
e) Bir hakkın tesisi, kullanılması veya korunması halinde özel nitelikli kişisel verilerin işlenmesi
Yeni düzenleme ile özel nitelikli kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde işlenebilecektir. Öncesinde KVKK m.5 hükmünde sadece alelade kişisel veriler için düzenlenmiş olan bu hukuka uygunluk sebebi artık özel nitelikli veriler bakımından da dikkate alınabilecektir. Bu düzenleme özel nitelikli kişisel verilerin bir hakkın tesisi, kurulması veya korunması için işlenmesi zorunluluğu bakımından uygulamada ortaya çıkan sorunlara çözüm getiren bir hüküm olarak nitelendirilebilir. Örneğin bir doktorun kendisine karşı açılan malpraktis davasında kendisini savunabilmesi için delilleri mahkemeye sunması ya da zamanaşımı süresi içinde ilgili belge ve kayıtları saklaması gereklidir. Ancak değişiklik öncesi Kanun’da özel nitelikli veriler bakımından böyle bir hukuka uygunluk sebebi düzenlenmediğinden; bu gibi hallerde veri işlemenin hukuka aykırı olduğu sonucuna varılabiliyorken bu hüküm ile bu sorun bertaraf edilmiştir.
f) İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi durumunda özel nitelikli kişisel verilerin işlenmesi
Yeni değişiklik ile KVKK m.5/2-ç’de alelade kişisel verilerin işlenmesine dair öngörülen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartı özel nitelikli kişisel veriler için öngörülmemiş; kanun koyucu daha dar kapsamlı tutarak “İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması”nı hukuka uygunluk sebebi olarak düzenlemiştir. Yani veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması şartı özel nitelikli veriler için daha sınırlı bir alanda uygulanacaktır.
Değişiklik gerekçesinde hukuka uygunluk sebebine ilişkin örneklere yer verilmiştir. Buna göre; “Örneğin; 4857 sayılı İş Kanunuyla işverenlere verilen engelli veya hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından kişilerin sağlık verilerinin veya ceza mahkumiyetine ilişkin verilerinin işverenlerce işlenmesi bu bent kapsamında değerlendirilecektir. Aynı şekilde, diyaliz hastalarına sunulan sağlık kuruluşuna taşıma hizmetinin yerine getirilebilmesi için kişinin sağlık raporunun işlenmesi de mümkün olacaktır.” Gerekçeden de anlaşılacağı üzere İş Kanunu’nun 30. maddesinde düzenlenen engelli ve eski hükümlü çalıştırma zorunluluğu, işveren için kişisel verilerin işlenmesini gerektiren hukuki bir yükümlülüktür.
İstihdam ilişkisinin kurulması açısından da işçinin “çalışma yeterliliğini” değerlendirmek için hukuki yükümlülük nedeni ile verilerin işlenmesinin zorunlu olması halinde de bu hukuka uygunluk sebebi kapsamında değerlendirme yapılması gerekir. Herhangi bir hukuki yükümlülüğü nedeniyle engellilik oranı yahut psikolojik açıdan sağlık durumu gibi sağlık verilerinin işlenmesi zorunlu ise henüz çalışan adayı konumunda olan ilgili kişinin verilerinin istihdam ilişkisi kapsamında işlendiği kabul edilmelidir. İş Kanunu m.30/4 uyarınca yer altı ve su altı işlerinde engelli işçi çalıştırılamayacağı hüküm altına alındığından, bu iş kolu için çalışan adayından sağlık raporunun iş akdi kurulmadan önce talep edilmesi bu duruma örnek olarak verilebilir.
Ayrıca değinmek gerekir ki veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önleme, hukuka aykırı olarak bu verilere erişilmesini önleme ve kişisel verilerin muhafazasını sağlama yükümlülükleri mevcuttur ve bu yükümlülüklerini yerine getirmek amacıyla güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır. Veri sorumlusu ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamaz. İşveren de veri sorumlusu ve yeri geldiğinde veri işleyen niteliğine sahip olduğundan bu veri işleme faaliyeti, işveren tarafından genel ilkeler gözetilerek ve veri güvenliğinin sağlanması adına gerekli teknik ve idari tedbirler alınarak gerçekleştirilmelidir.
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kar amacı gütmeyen kuruluşlar ya da oluşumların üyelerine yönelik özel nitelikli verilerin işlenmesi
Yeni düzenleme ile siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kar amacı gütmeyen kuruluşlar ya da oluşumlar düzenli olarak temas halinde olan üyelerinin özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun olarak, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir.
Öncelikle bu kuruluş ve oluşumların siyasi, felsefi veya sendikal amaçlarla kurulmuş vakıf, dernek veya diğer kar amacı gütmeyen kuruluş ya da oluşum olması kaydıyla; ikinci olarak tabi oldukları mevzuata ve amaçlarına uygun olması, faaliyet alanlarıyla sınırlı olması ve üçüncü kişilere açıklanmaması kaydıyla; son olarak mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması kaydıyla bu özel nitelikli kişisel veriler işlenebilecektir.
Değişiklik gerekçesinde de belirtildiği üzere örneğin, bu kuruluş ve oluşumların mevcut üyelerinin yanı sıra eski üyeleri ve düzenli olarak bağış yapmak suretiyle kendisiyle temas halinde olan kişilerin bu durumlarına ilişkin bilgiyi işlemesi bu bent kapsamında değerlendirilecektir. Aynı şekilde bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın siyasi, felsefi veya sendikal amaçlarla kuluna bir derneğin reklam amacıyla veri işlemesi bu yeni hukuka uygunluk sebebi kapsamında değerlendirilemeyecektir.
Ayrıca söz konusu hüküm, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) “Özel kategorilerdeki kişisel verilerin işlenmesi” başlıklı 9. Maddesinin ikinci fıkrasının (d) bendinde de yer almaktadır. Söz konusu hukuki işleme sebebi, özel güvenceli bir işleme sebebidir ve temel özgürlüklerin kullanılmasına izin vermek amacıyla özel olarak düzenlenmiştir. Bu hüküm Kanun maddesine de eklenerek GDPR ile uyumlu hale getirilmeye çalışılmıştır.
2) Kişisel Verilerin Korunması Kanununun 9. Maddesinde Yapılan Değişiklikler
Kanun’un uygulamasına bakıldığında, ülkemizden yabancı ülkelere kişisel veri aktarılması, ilgili kişilerin tek tek açık rızasının alınması dışında sadece Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izin vermesiyle yapılabilmektedir. Kanun’un 9. maddesi sil baştan yazılarak, ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesi, ülkemizde yapılacak yatırımların engellenmesinin önüne geçilmesi amaçlanmıştır.
Veri sorumlularını kişisel verilerin yurt dışına aktarıldığı durumlarda büyük açmaza sokan “açık rızayı” önceleyen yaklaşım terk edilmiştir. Ancak açık rızayı önceleyen “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” hükmünün Kanun’a eklenen Geçici Madde 3 ile 01.09.2024 tarihine kadar uygulanmaya devam edeceği kararlaştırılmıştır. Bu hükmün, verilerin yurt dışına aktarımına yönelik usul ve esasların ikincil düzenlemelerle belirginleşeceği hususu göz önünde bulundurularak muhafaza edilmiştir.
Bu kapsamda açık rızayı şartı terk edilerek kişisel verilerin yurt dışına aktarımında veri sorumluları bakımından uyulması gereken kuralların çerçevesi netleştirilmiş ve kişisel verinin yurt dışına aktarımında bireylerin ve verinin güvenliğinin ön planda olduğu sistemler GDPR ile uyumlu bir şekilde tesis edilmiştir.
Kanun’un 9. maddesinde yapılan değişiklikte göze çarpan ilk husus yürürlükte bulunan hükümde “yurt dışına” aktarımdan bahsedilirken değişiklik ile aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler yönünde uygulanacağı esası getirilmesidir. Maddenin mevcut halinde yurt dışındaki veri işleyenlere yapılacak veri aktarımlarında taahhütnamelerin uygulama alanı bulup bulamayacağı konusunda netlik bulunmamaktadır. Bu kapsamda yeni düzenleme ile;
• Kuralların kişisel verileri yurt dışına aktaracak olan veri sorumlusu ve veri işleyen bakımından geçerli olduğu,
• Yurt dışındaki alıcı tarafın veri sorumlusu ve veri işleyen olabileceği,
• Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımlarının da aynı kurallara tabi olduğu hususları açıklığa kavuşturulmuştur.
Ayrıca yurt dışına veri aktarımı için kademeli ve alternatifli bir aktarım usulü getirilmiştir. Kişisel verilerin yurt dışına aktarılması için üç farklı alternatif öngörülmüştür. Bu üç farklı alternatif yol şu şekildedir:
1. Yeterlilik kararına dayalı aktaırm,
2. Uygun güvencelere dayalı aktarım,
3. Arızi durumlara dayalı aktarım
a) Yeterlilik kararına dayalı veri aktarımı
Yeterlilik kararına dayalı aktarım muhafaza edilmiş ve yeterlilik kararına ülkeler dışında uluslararası kuruluşlar ve sektörlerin de konu olmasına imkan tanınmıştır. Mevcut 9. maddede kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı belirtilmektedir. Yeni düzenleme ile birlikte kişisel verilerin Kanun’un 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabileceği belirtilmiştir. Kişisel verilerin yurt dışına aktarılması da bir kişisel veri işleme olduğu için yurt dışına aktarım durumunda da Kanun’un 5. ve 6. maddesindeki hukuki işleme sebeplerine dayanılması gerektiği vurgusu muhafaza edilmiştir.
Anlaşılacağı üzere yeterlilik kararı bu düzenlemede de muhafaza edilerek kişisel veri aktarımı için temel kuralın yeterlilik kararının esas olduğu belirlenmiştir. Buna ilave olarak ise yeterliliğin kapsamı genişletilmiş, yeterlilik kararının salt ülkeler için değil, ayrıca uluslararası kuruluş veya ülke içerisindeki sektörler bakımından verilmesinin önü açılmıştır.
Yeterlilik kararının verilmesine ilişkin kurallarda esaslı değişiklikler yapılmamıştır. Yeni düzenlemeye göre yeterlilik kararı Kurul tarafından verilecek ve bu kararlar Resmi Gazetede yayımlanacaktır. Bu yeterlilik kararının en geç dört yılda bir değerlendirilmesi kuralı getirilmiş; Kurul’a gerekli gördüğünde ilgili kurum ve kuruluşlardan görüş alma ve yeterlilik kararını ileriye etkili olmak üzere değiştirme, askıya alma veya kaldırma yetkisi tanınmıştır. İlave olarak yeterlilik kararı verilirken öncelikle dikkate alınacak hususlar revize edilmiştir. Buna göre Kurul yeterlilik kararı verirken;
• Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumunu;
• Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kuralları;
• Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunmasını;
• Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumunu;
• Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumunu;
• Türkiye’nin taraf olduğu uluslararası sözleşmelerini dikkate almak zorundadır.
Madde gerekçesine bakıldığında Kurul, yeterlilik kararını verirken sadece bu dikkate alınacak esaslarla bağlı kalmayacaktır. Zira fıkrada sayılan ölçütler tahdidi nitelikte olmayıp Kurul yeterlilik kararı verirken gerekli gördüğü başkaca hususları da dikkate alabilecek ve kişisel verilerin korunmasına ilişkin güncel durumları, uygulamaları, politik meseleleri dikkate alarak ilave kriterler belirleyebilecektir. Ancak bu takdir yetkisi sınırsız olmayacak, bu yetkinin sınırını KVKK’nın da amacı olan özel hayatın gizliliğinin temini ve kişilerin temel hak ve özgürlüklerinin en üst düzeyde korunması ilkesi çizecektir.
b) Uygun güvencelere dayalı veri aktarımı
Yeni düzenleme ile yeterlilik kararı bulunmaması durumunda açık rızaya gitmeksizin güvencelere dayalı aktarım yönetimine başvurulması imkanı getirilmiştir. Kanun’un 9. maddesindeki en önemli değişiklik yeterlilik kararı bulunmaması durumuna ilişkin yapılmıştır. Yeterlilik kararı bulunmaması durumunda, KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılması mümkün hale gelmiştir.
Önemle vurgulamak gerekir ki, “güvencelere dayalı aktarım” için her durumda aranacak
üç ön koşul vardır:
1. KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı gerekir.
2. İlgili kişi haklarının aktarımın yapılacağı ülkede de kullanılabilmesi mümkün olmalıdır.
3. Aktarımın yapılacağı ülkede kişisel verilerin korunmasına ilişkin etkili kanun yollarına başvurma imkânı bulunmalıdır.
c) Arızi durumlara dayalı veri aktarımı
Yeterlilik kararı olmayan ve uygun güvencelerden birisinin de sağlanamadığı hallerde kişisel verilerin yurt dışına aktarılabileceği arızi aktarım yöntemi ilk defa tanımlanmıştır. Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla fıkrada belirtilen şartların gerçekleşmesi halinde yurt dışına kişisel veri aktarılabileceği kararlaştırılmıştır.
• Açık rızaya dayalı yurt dışına kişisel veri aktarımı arızi hallerle sınırlandırılmıştır ve açık rızaya muhtemel riskle hakkında bilgilendirme unsuru eklenmiştir.
• Arızi olmak kaydıyla ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması durumunda kişisel verilerin yurt dışına aktarılması imkanı getirilmiştir.
• Arızi olmak kaydıyla ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması durumunda kişisel verilerin yurt dışına aktarılması imkanı getirilmiştir.
• Arızi olmak kaydıyla üstün bir kamu yararı için zorunlu olan hallerde kişisel verilerin yurt dışına aktarılması imkanı getirilmiştir.
• Arızi olmak kaydıyla bir hakkın tesisi, kullanılması veya korunması için zorunlu hallerde kişisel verilerin yurt dışına aktarılması imkanı getirilmiştir.
• Arızi olmak kaydıyla fiili imkânsızlık hallerinde kişisel verilerin yurt dışına aktarılması imkanı getirilmiştir.
• Arızi olmak kaydıyla meşru menfaati olan kişinin talebi üzerine açık sicillerden kişisel verilerin yurt dışına aktarılması imkanı getirilmiştir.
• Arızi sebeplerle aktarımda kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerinde kişisel verileri yurt dışına aktarmalarına ilişkin özel bir kısıtlama getirilmiştir.
d) Standart sözleşmelere kullanarak kişisel verileri yurt dışına aktaran veri sorumluları ve veri işleyenlerin Kurul’a bildirme yükümlülüğü
Yeni düzenleme ile veri sorumlusu veya veri işleyenlere standart sözleşmelerin imzalanmasından itibaren 5 iş günü içerisinde KVK Kurumu’na bildirmesi yükümlülüğü getirilmiştir. Yine bu düzenleme ile kabahat ihdas edilerek bildirme yükümlülüğe uyulmaması durumunda KVKK m.18’e idari para cezası yaptırımı eklenmiştir.
3) Kişisel Verilerin Korunması Kanununun 18. Maddesinde Yapılan Değişiklikler
Yeni düzenleme ile veri sorumlusu ve veri işleyene getirilen bildirme yükümlülüğüne uyulmaması durumu kabahat olarak ihdas edilmiş ve bu yükümlülüğün yerine getirilmemesi durumunda 50 bin Türk lirasından 1 Milyon Türk lirasına kadar idari para cezası öngörülmüştür.
Ayrıca Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabileceği düzenlenmiştir.
4) 7499 Sayılı Kanunun 36. Maddesi ile Kişisel Verilerin Korunması Kanununa eklenen “Geçici Madde 3” değişikliği
Yeni düzenleme ile Kişisel Verilerin Korunması Kanunu’na şu madde eklenmiştir:
GEÇİCİ MADDE 3- (1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur.
(2) 1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam olunur.
İşbu geçici maddenin birinci fıkrasında belirtildiği üzere Kanun’un mevcut 9. maddesinde bulunan “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” kuralı 01.09.2024 tarihine kadar uygulanmaya devam edecektir.
Yine geçici maddenin ikinci fıkrası ile de Kanun’un 18. maddesinin üçüncü fıkrasının zaman yönünden uygulaması netleştirilmiş, böylece KVK Kurulu’nca verilen idari para cezalarına karşı sulh ceza hakimlikleri yerine idare mahkemelerinde dava açılması öngörüldüğünden, bu hükme ilişkin geçiş düzenlemesi yapılmıştır. Buna göre, 1 Haziran 2024 tarihi itibarıyla sulh ceza hakimlikleri önünde bulunan dosyalar, bu hakimliklerce nihai karara bağlanacaktır.
C) Yürürlük 7499 Sayılı Kanunun 40. maddesinde bulunan “(1) Bu Kanunun; a) 1 inci, 2 nci, 3 üncü, 9 uncu, 12 nci, 13 üncü, 14 üncü, 17 nci, 18 inci, 19 uncu, 20 nci, 21 inci, 33 üncü, 34 üncü, 35 inci, 36 ncı maddeleri 1/6/2024 tarihinde… yürürlüğe girer.” hükmü gereği işbu Kanun ile yapılan değişiklikler 01.06.2024 tarihinden itibaren yürürlüğe girecektir.
D) Karşılaştırmalı Kanun Değişikliği
ESKİ METİN | YENİ METİN |
Özel nitelikli kişisel verilerin işlenme şartları MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. | MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. |
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. | (2) MÜLGA Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. |
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. | (3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür. |
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. Özel nitelikli kişisel verilerin işlenme şartları | (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. |
Kişisel verilerin yurt dışına aktarılması MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; 1) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, 2) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, 3) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, 4) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, 5) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. | Kişisel
verilerin yurt dışına aktarılması MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. (2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. (3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır: a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar. c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması. ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu. d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu. e) Türkiye’nin taraf olduğu uluslararası sözleşmeler. (4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir: a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi. b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. (5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir. (6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir: a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması. c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. ç) Aktarımın üstün bir kamu yararı için zorunlu olması. d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması. (7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz. (8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır. (9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. (11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir. |
Kabahatler
MADDE
18- (1) Bu Kanunun; a)
10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler
hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b)
12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine
getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c)
15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine
getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. | Kabahatler
MADDE
18- (1) Bu Kanunun; a)
10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler
hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b)
12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine
getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c)
15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine
getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. |
YENİ MADDE
GEÇİCİ
MADDE 3-
(1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki
birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024
tarihine kadar uygulanmaya devam olunur.
(2)
1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan
başvurular, bu hâkimliklerce görülmeye devam olunur. |