1. 6698 SAYILI KANUNDA YAPILAN DEĞİŞİKLİKLER
6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (KVKK) yapılan ve 12 Mart 2024'te Resmî Gazete'de yayımlanan değişiklikler, Türkiye'de faaliyet gösteren kuruluşlar için veri koruma ve uyum süreçlerini geliştirmeyi amaçlayan önemli güncellemeler getirmektedir.
A. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Değişiklikler
ESKİ HÜKÜM
|
MEVCUT HÜKÜM |
Özel nitelikli kişisel verilerin işlenmesi
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
|
Özel nitelikli kişisel verilerin işlenmesi
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
Ancak bu verilerin işlenmesi:
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tabii oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde mümkündür.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
|
Eski Kanun metni değerlendirildiğinde, özel nitelikli kişisel veriler kendi içerisinde özel nitelikli kişisel veriler ve sağlık ve cinsel hayata ilişkin özel nitelikli veriler olarak ikiye ayrılmış olup işleme şartları bakımından farklı hükümler öngörülmüştü.
Kanun’un 6.maddesinde yapılan değişiklik ile özel nitelikli veri başlığı altında yer alan sağlık ve cinsel hayata ilişkin özel nitelikli veriler ile diğer özel nitelikli veriler arasındaki ayrım kaldırılmış, tüm özel nitelikli kişisel verilerin işlenmesinin yasak olduğu ifade edilmiştir.
Eski Kanun metninde özel nitelikli kişisel verilerin yalnızca ilgili kişinin açık rızası kapsamında işlenebileceği, sağlık ve cinsel hayata ilişkin veriler dışındaki özel nitelikli kişisel verilerin kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın da işlenebileceği ve sağlık ve cinsel hayata ilişkin kişisel verilerin yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği öngörülmüştü.
6.madde kapsamında yapılan değişiklik ile özel nitelikli kişisel verilerin işlenebileceği istinai hallere;
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması
eklenmiş ve özel nitelikli verilerin işlenebileceği haller genişletilmiştir.
1. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması:
Kanun’un 6.maddesinde yapılan değişiklik ile istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerine yerine getirilmesi için zorunlu olan hallerde özel nitelikli kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenebileceği düzenleme altına alınmıştır. Bu itibarla, istihdam ilişkisinin kurulması aşamasında, işçinin istihdam için yeterli olup olmadığını değerlendirmek adına hukuki yükümlülük nedeniyle verilerin işlenmesinin zorunlu olması hâlinde, Kanun’un 6. maddesinde düzenlenen bu yeni hukuki işleme sebebine dayalı olarak değerlendirme yapılması gerekmektedir. Örneğin, 4857 sayılı İş Kanunu kapsamında işverenlerin engelli veya hükümlü çalıştırma yükümlülüğünü yerine getirebilmesi için kişilerin sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işlenmesi bu madde kapsamında değerlendirilebilecektir. Böylelikle, hukuki bir yükümlülük nedeniyle engellilik oranı veya psiko-teknik açıdan sağlık durumu gibi sağlık verilerinin işlenmesi zorunlu ise, istihdamı henüz sağlanmamış olan ve çalışan adayı konumunda bulunan ilgili kişinin verilerinin istihdam ilişkisi kapsamında işlendiği kabul edilerek 6.madde kapsamında işleme yapılabilecektir.
2. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması:
Kanun’un 6.maddesi kapsamında düzenleme altında alınan işbu yeni hukuki işleme sebebi ile siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesine imkan tanınmış olup bu kuruluş ve oluşumların mevcut ve eski üyeleri ile bu kuruluş ve oluşumlarla düzenli olarak temas hâlinde olan kişilerin özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceği düzenleme altına alınmıştır. İşbu oluşumların yalnızca kendi faaliyet alanları ve amaçları doğrultusunda veri işleyebileceğini, faaliyet alanında yer almaksızın yahut amacına uygun olmaksızın örneğin sağlık veya din verisi işleyemeyeceği hususunu unutmamak gerekmektedir.
Bunun yanında özel nitelikli verilerin işlenebileceği haller, Kanun’un kişisel verilerin işlenebileceği istinai halleri düzenleyen 5.maddesiyle uyumlu hale getirilmiş,
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
sebepleri özel nitelikli veriler için ayrıca işleme hali olarak belirtilmiştir.
B. Yurtdışına Veri Aktarımına İlişkin Değişiklikler
ESKİ HÜKÜM |
MEVCUT HÜKÜM |
Kişisel verilerin yurt dışına aktarılması MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. |
Kişisel verilerin yurt dışına aktarılması MADDE 9- (1) Kişisel veriler, 5 inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. (2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete'de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. (3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır: a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması. ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye'nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu. d) Türkiye'nin taraf olduğu uluslararası sözleşmeler. (4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 nci maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir: a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi. b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına İlişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. (5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir. (6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir: a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması. c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. ç) Aktarımın üstün bir kamu yararı için zorunlu olması. d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla için gereken şartların aktarım yapılması. (7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz. (8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır. 9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye'nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına aktarılabilir. (10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. (11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir. |
Eski Kanun metni göz önüne alındığında kişisel verilerin yurtdışına aktarımı ancak Kurum tarafından yeterli korumaya sahip olduğu belirlenmiş güvenli ülkeye aktarım yapılması, yeterli koruma bulunmaması halinde Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması yahut ilgili kişinin açık rızasının bulunması hallerinden biri söz konusu olduğunda mümkün olabiliyordu. Bununla birlikte, Kurum’un bugüne kadar yeterlilik kararı verdiği yahut yeterlilik kararı aldığı herhangi bir ülke bulunmamakta olup taahhütname hususunda yapılan başvuruların birçoğu da reddedilmiştir. İlgili kişilerin açık rızası konusunda verilen kararlarda ise, Kurum açık rızanın yanında, açık rızanın hizmete bağlanması, aydınlatmanın yeterli yapılmaması, rızanın veri işlenmeden önce alınmış olması gibi sebepler ile birçok yaptırım uygulamıştır.
Kanun’da yapılan değişiklik ile kişilerin yurtdışına veri aktarabileceği haller genişletilmiş olup bu haller Kanun’da tahdidi olarak sayılmış, detayları ise 10/07/2024 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren Yönetmelik ile belirlenmiştir. Yine değişiklik ile veri işleyenlerin de faaliyetleri kapsamında Kanun’da öngörülen şartlar ile yurtdışına veri aktarımı yapabilmesinin önü açılmıştır.
Bu itibarla, yeni düzenleme ile kademeli bir aktarım düzeni devreye konulmuştur. Yeni düzenlemede kişisel verilerin yurt dışına aktarılması için üç farklı durum öngörülmüştür:
1.Yeterlilik kararına dayalı aktarım:
Eski Kanun metninde yer almakta bulunan yeterlilik kararına dayalı yurtdışına aktarım yeni düzenleme ile de muhafaza edilmiş olup yeterlilik kararına sadece ülkeler değil, uluslararası kuruluşlar ve sektörler de dahil edilmiştir.
Yeni düzenlemeyle, kişisel verilerin KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması hâlinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabileceği belirtilmiştir. Bu itibarla, ülkenin tamamı için değilse o ülke içerisinde yer alan bir sektör veya uluslararası kuruluş hakkında yeterlilik kararı verilmesi mümkün hale gelmiştir. Kişisel verilerin yurt dışına aktarılması da bir kişisel veri işleme olduğu için, bu durumda da 5 ve 6. maddelerde belirtilen hukuki işleme sebeplerine dayanılması gerektiği açık olup bu durum yeni düzenleme ile de vurgulanmıştır.
Eski düzenleme ile yeterlilik kararı bulunmaması halinde yalnızca ilgili kişinin açık rızasına dayalı olarak veya taahhütname bulunması ve Kurulun izin vermesi kapsamında yurtdışına aktarım yapılabileceği düzenlenmiş iken, yeni düzenleme ile bu kapsam genişletilmiş, uygun güvencelerin varlığı halinde aktarım yapılabilmesine imkan sağlanmıştır.
2. Uygun güvencelere dayalı aktarım:
Yeni düzenleme ile getirilmiş olan uygun güvencelere dayalı aktarım için her durumda üç ön koşul aranmaktadır:
KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı,
İlgili kişinin haklarının aktarımın yapılacağı ülkede de kullanılabilmesi,
Aktarımın yapılacağı ülkede kişisel verilerin korunmasına ilişkin etkili kanun yollarına başvurma imkânının bulunması.
Bu itibarla, hakkında yeterlilik kararı bulunmayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörlere, KVKK’nın 5 ve 6. maddelerindeki veri işleme şartlarından birinin varlığı hâlinde, aktarımın yapılacağı ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla, belirtilen "uygun güvencelerden" birinin sağlanması durumunda kişisel veri aktarılması mümkün olacaktır.
a. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve KVK Kurulu tarafından bu aktarıma izin verilmesi
Yapılan değişiklik uyarınca Türkiye'deki bir kamu kurumunun, yabancı ülkedeki ilgili bir kamu kurumu ile belirli bir alanda yapacağı iş birliği protokolü kapsamında, KVK Kurulu'nun izin vermesi şartıyla, karşılıklı yapılacak faaliyetlerin gerektirdiği kişisel verilerin yurt dışındaki kamu kurumuna aktarılması mümkündür.
b. Bağlayıcı Şirket Kuralları
Yeni düzenleme ile getirilen hüküm uyarınca, ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı durumunda yurtdışına veri aktarımı yapılması mümkün hale gelmiştir. Bu hükümle birlikte GDPR’da düzenlenmiş bulunan binding corporate rules – BCR usulü Kanun ile düzenleme altına alınmıştır. Bağlayıcı şirket kurallarına ilişkin detaylı hükümler Yönetmelik’te düzenlenmiş olup makale devamında detaylı olarak izah edilecektir. Bununla birlikte, yurtdışına aktarımın mümkün olabilmesi için,
Ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketler için bağlayıcılığın sağlanmış olması,
Kuralların kişisel verilerin korunmasına ilişkin hükümler içermesi,
Bu kuralların KVK Kurulu’nun onayından geçmiş olması şartlarının gerçekleşmiş olması gerektiği hususunu gözden kaçırmamak gerekmektedir.
c. Standart Sözleşmelerin Varlığı
Yapılan değişiklik uyarınca, Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı halinde yurtdışına veri aktarımı gerçekleştirilmesi mümkündür. Bu hüküm ile birlikte GDPR’da düzenlenmiş bulunan standard contractual clauses – SCC usulü Kanun ile düzenleme altına alınmıştır.
Bu itibarla, kişisel veriyi Türkiye’de aktaracak taraf ile kişisel verilerin aktarılacağı taraf, her iki taraf da veri sorumlusu veya veri işleyen olabilir, Kurul tarafından ilan edilen asgari unsurların yer aldığı sözleşmeyi akdettikten sonra yurtdışına veri aktarımı gerçekleştirebilecektir. Bu itibarla, eğer yurt dışındaki karşı taraf, bulunduğu ülkede kişisel verilerin Türkiye’deki gibi korunacağını taahhüt edebiliyorsa ve bulunduğu ülkede kişisel verilere ilişkin Türkiye’deki asgari güvencelerin varlığını ortaya koyabiliyorsa veri aktarımı gerçekleştirebilecektir.
Kanun’un yeni 9. maddesine eklenen beşinci fıkrası uyarınca ise standart sözleşmelerin, imzalanmasından itibaren 5 iş günü içinde veri sorumlusu veya veri işleyen tarafından KVK Kurulu’na bildirilmesi gerekmektedir. Bu bildirimin zamanında yapılmaması yaptırıma bağlanmıştır ve 18. maddenin birinci fıkrasına eklenen (d) bendiyle, bu bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği düzenlenmiştir.
Belirtmek gerekir ki, bu durumda Kurul’dan ayrıca izin alınmasına gerek kalmaksızın veri aktarımı gerçekleştirilebilecektir.
Yine belirtmek gerekir ki, Kişisel Verileri Koruma Kurumu tarafından Bağlayıcı Şirket Kuralları ve Standart Sözleşmelere ilişkin taslak dokümanlar hakkında kamuoyu duyurusu yayımlanmış olup ilgili doküman taslaklarına https://kvkk.gov.tr/Icerik/7938/Standart-Sozlesmeler-ve-Baglayici-Sirket-Kurallarina-Iliskin-Dokumanlar-Hakkinda-Kamuoyu-Duyurusu websitesinden ulaşabilmektedir.
d. Yazılı Taahhütnamenin Varlığı ve Kurul’un İzni
Önceki metinden muhafaza edilen işbu hüküm ile yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve KVK Kurulu tarafından aktarıma izin verilmesi durumunda, yeterlilik kararı bulunmayan bir ülkeye kişisel veri aktarılması mümkün olacaktır.
3. Arızi durumlara dayalı aktarım:
Getirilen işbu yeni düzenleme ile ne yeterlilik kararının olduğu ne de güvencelere dayalı yurt dışına kişisel veri aktarımın şartlarının sağlanamadığı hâller için özel ve yeni bir aktarım sebebi düzenleme altına alınmıştır.
Yeterlilik kararı bulunmadığı ve KVKK’nın 9. maddesinin dördüncü fıkrasında öngörülen uygun güvencelerden birinin sağlanamadığı bazı istisnai durumlarda; arızi olmak kaydıyla diğer bir ifadeyle tek veya birkaç sefer ve süreklilik taşımayacak şekilde, yurtdışına veri aktarılması mümkün hâle gelmiştir. Bu itibarla, kişisel verilerin arızi olarak yurtdışına aktarılabileceği haller aşağıdaki gibidir:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla açık rızaya dayalı yurtdışına veri aktarımı
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması
Aktarımın üstün bir kamu yararı için zorunlu olması
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması
C. Güncellenmiş İdari Para Cezaları ve Yükümlülükler
İdari para cezaları artık sadece veri sorumlularını değil, aynı zamanda bildirim yükümlülüklerini yerine getiremeyen veri işleyenleri de kapsar hale getirilmiştir. Örneğin; Kanun’un 9. maddesine eklenen 5. fıkrası uyarınca standart sözleşmenin imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kurum’a bildirilmemesi halinde bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği düzenlenmiştir.
ESKİ HÜKÜM |
MEVCUT HÜKÜM |
Kabahatler MADDE 18- (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurul’un yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
|
Kabahatler MADDE 18- (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, d) 9’uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir. (Yargı Yolu) (4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurul’un yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. |
D. Yargı Yolu
Değişiklik öncesi Kurul kararlarına karşı ikili bir denetleme uygulaması söz konusu olup Kurulun idari para cezalarına karşı sulh ceza hakimliğine başvurulurken idari para cezası dışında kalan kısmı için ise idari yargıya başvurulmaktaydı. Değişiklik ile Kurul kararlarına itiraz için idari mahkemelere başvuru prosedürünü birleştirerek, Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabileceği öngörülmüştür.
2. 10.07.2024 TARİHİNDE YAYIMLANAN YÖNETMELİK’İN DEĞERLENDİRİLMESİ
Kişisel verilerin yurt dışına aktarılmasını düzenleyen Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik 10/07/2024 tarihli Resmi Gazete'de yayımlanmış olup Yönetmelik’te 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 9. maddesi kapsamında kişisel verilerin yurt dışına aktarılmasının usul ve esasları belirlenmiştir.
A. YETERLİLİK KARARI
Yönetmelik ile getirilen düzenleme ile Kurul’un yeterlilik kararı vermesine ilişkin usul ve esaslar detaylı olarak belirtilmiştir. Bu itibarla, Kurul’un yeterlilik kararı verirken dikkate alacağı hususlar düzenleme altına alınmış olup yeterlilik kararı verilirken, "kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu, ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar, bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu" gibi durumların dikkate alınması gerektiği düzenlenmiştir.
Yeterlilik kararının en geç 4 yılda bir yenileneceği, bu itibarla yeniden değerlendirme döneminin belirleneceği, ilgili ülkede yeterli düzeyde koruma sağlanmadığının tespiti durumunda Kurul’un kararını ileriye etkili olmak üzere değiştirebileceği, askıya alabileceği veya kaldırabileceği, yeniden değerlendirme dönemi olmasa dahi Kurul’un gerekli gördüğü hallerde yeterlilik kararını gözden geçirerek ileriye etkili olarak değiştirme, askıya alma veya kaldırma yetkisinin bulunduğu düzenleme altına alınan diğer hususlardır.
B. UYGUN GÜVENCELERE DAYALI AKTARIMLAR
Kanun’un 9.maddesinde düzenleme altına alınmış olan uygun güvencelere dayalı aktarım hallerinin ne şekilde ve hangi usul ve esaslar altında gerçekleştirilebileceği Yönetmelik metniyle detaylı olarak ele alınmıştır. Bu itibarla, Türkiye’deki kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları ile yabancı ülkedeki kamu kurum ve kuruluşları veya uluslararası kuruluşlar arasında yapılacak kişisel veri aktarımlarına ilişkin olarak hazırlanacak uluslararası sözleşme niteliğinde olmayan anlaşmanın şartları, anlaşmada hangi hükümlerin yer almasının zorunlu olduğu, Kurum’dan izin alma usulü gibi esaslar Yönetmelik ile belirlenmiş bulunmaktadır. Yine, bağlayıcı şirket kuralları ile ilgili usul ve esaslar, bağlayıcı şirket kurallarına bulunması gereken hususlar detaylı olarak ele alınmıştır. Aktarımın bir diğer yolu olan standart sözleşmenin Kurul tarafından belirlenerek ilan edileceği, bu sözleşmenin üzerinde herhangi bir değişiklik yapılmadan kullanılması gerektiği ve standart sözleşmeye ilişkin usul ve esaslar Yönetmelik tarafından belirlenen bir diğer husustur.
Son olarak, taahhütname ile yurtdışına aktarımın ne şekilde gerçekleştirilebileceğine ilişkin usul ve esaslar ile Kanun’un 9.maddesinde düzenleme alanı bulan istisnai aktarım hallerine ilişkin detaylar Yönetmelik’te düzenleme alanı bulmuştur.
Yönetmelik 10/07/2024 tarihli Resmi Gazete’de yayımlanmış olup yayımlandığı tarihte yürürlüğe girmiştir.
Commenti