“8. Yargı Paketi” olarak adlandırılan ve Kişisel Verilerin Korunması Hakkındaki Kanun’da önemli değişiklikler getiren 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 12/03/2024 tarihli Resmî Gazete’de yayımlanmıştır.“8. Yargı Paketi” olarak bilinen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına dair Kanun” (“Kanun”) ile Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında da değişiklikler yapılmıştır.
Bu değişiklikler, kişisel veri işleme süreçlerinde kritik düzenlemeler getirerek Avrupa Birliği Genel Veri Koruma Tüzüğü (“General Data Protection Regulation- GDPR”) ile uyumluluğu hedeflemektedir.
Bu paket ile KVKK’da düzenlenen özel nitelikli kişisel verilerin işlenmesi, kişisel verilerin yurtdışına aktarılması ve idari yaptırımlarda başvurulacak görevli mahkeme konularında değişiklikler yapılmıştır.
- Özel Nitelikli Kişisel Verilerin İşlenmesi Hakkında Yapılan Değişiklikler
KVKK’nın 6. maddesinde düzenlendiği üzere “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
Söz konusu değişiklik ile KVKK ‘da yer alan “özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır” fıkrası yürürlükten kaldırılmış ve özel nitelikli kişisel verilerin istisnai olarak rızaya tabi olmaksızın işlenmesini düzenleyen üçüncü fıkrası da değiştirilmiştir.
Özel nitelikli kişisel verilerin işlenmesi ile yapılan değişiklikler ile eski düzenlemede kapsam dışında bırakılan birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler de dahil olmak üzere tüm özel nitelikli veriler 8 adet bent ile düzenlenmiştir. Düzenleme şu şekildedir;
“24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6’ncı maddesinin ikinci fıkrası yürürlükten kaldırılmış ve üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir.
“(3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
- a) İlgili kişinin açık rızasının olması,
- b) Kanunlarda açıkça öngörülmesi,
- c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.”
Böylece söz konusu değişiklik ile 1 Haziran 2024’te yürürlüğe girmek üzere maddede düzenlenen hallerin varlığı halinde özel nitelikli olarak tanımlanan kişisel verilerin işlenmesi artık mümkündür.
- Kişisel Verilerin Yurtdışına Aktarılması Hakkında Yapılan Değişiklikler
KVKK’nın 9. maddesinde “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” şeklinde düzenlenmiş olup söz konusu eski düzenlemede kişisel verilerin yurtdışına aktarılmasında kabul edilen açık rıza şartı yeni düzenleme ile istisnai durumlarda rıza aranmaksızın kişisel verilerin aktarılmasını kabul etmiştir.
Yapılan düzenleme ile kişisel verilerin belirtilen işlenme şartlardan birinin varlığı halinde ve aktarım yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabileceği düzenlenmiştir. Böylece KVKK’nın 9’uncu maddesinde yapılan değişiklik ile;
“(1) Kişisel veriler, 5 inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.”
Yeterlilik kararının bulunmaması durumu aynı maddenin 4.fıkrasında düzenlemiş olup söz konusu düzenleme uyarınca, KVKK’nın 5 inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, maddede 4 bent şeklinde düzenlenen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. Maddede atıf yapılan uygun güvenceler şu şekilde belirtilmiştir;
“(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
- a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
- b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
- c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.”
Keza yeni düzenleme ile getirilen 6.fıkra uyarınca veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin de sağlanamaması durumunda, arızi olmak kaydıyla sadece fıkrada düzenlenen 7 bentteki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir.
Halihazırda, açık rıza ile yürütülen yurtdışına veri aktarım süreçlerinin 1 Eylül 2024 tarihinde kadar devam etmesi mümkün olmakla birlikte bu tarihten sonra açık rızaya dayalı veri aktarımı mümkün olmayacaktır.
- Kurul Kararlarına İtiraz Yolunda Görevli Mahkeme Hakkında Yapılan Değişiklik
Kabahatler başlığını taşıyan 18. madde uyarınca yapılan değişiklikler ile maddenin birinci fıkrasına d bendi eklenmiş, ikinci fıkrası değiştirilmiş, maddeye ikinci fıkrasından sonra gelmek üzere görevli mahkemeleri düzenleyen fıkra eklenmiş ve diğer fıkra da buna göre teselsül ettirilmiştir.
Buna göre “9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,” idari para cezası uygulanması öngörülmüştür. KVKK’nın 9’uncu maddesinin beşinci fıkrasında düzenlendiği üzere kişisel verilerin yurtdışında aktarımı için standart sözleşme imzalanması halinde, sözleşmenin imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirme yükümlülüğü yerine getirilmezse yeni düzenleme ile veri sorumlularına ve veri işleyenlere 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,” idari para cezası uygulanması öngörülmüştür.
Yapılan bir diğer değişiklik ise kurul kararlarına karşı itiraz yolunda görevli mahkeme sulh ceza hakimliği iken yapılan düzenleme ile idari yaptırım kararlarına karşı görevli mahkemeler idare mahkemeleri olarak güncellenmiş ve uygulamada yaşanan zorluklara çözüm adına önemli değişiklikler yapılmıştır.
Ancak belirtilmelidir ki, 1 Haziran 2024 tarihinden önce sulh ceza hakimliklerine intikal eden dosyalar, bu hâkimliklerce görülmeye devam olunacaktır.
- Sonuç
Böylece teklif edilen değişiklikler ile;
- Özel nitelikli kişisel verilerin işlenmesini yalnızca açık rıza ile mümkün kılan hüküm değiştirilerek “kanunlarda açıkça öngörülme” ve maddede düzenlenen özel haller ile özel nitelikli kişisel verilerin çeşitli şekillerde işlenebilmesi mümkün kılınmıştır.
- KVKK’nın yurtdışına veri aktarımını düzenleyen maddelerinde aktarım koşulları genişletilmiş, aktarım yapılacak ülke bazında değil, aktarımın gerçekleşeceği sektörün değerlendirmeye alınması düzenlenmiş ve Kurul tarafından Yeterlilik Kararı alınması halinde yurtdışına veri aktarımının önü açılmıştır.
- İdari yaptırımlar da yeni maddeler kapsamında düzenlenerek Kurul tarafından verilen idari yaptırım kararlarına karşı itirazların sulh ceza hakimlikleri yerine doğrudan idare mahkemelerinde değerlendirilmesi öngörülmüştür.