6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (“Kanun”, “KVKK”) Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) daha uyumlu bir hale getirilmesini amaçlayan değişiklikleri içeren 8. Yargı Paketi, TBMM Başkanlığına sunulmuştur. 16 Şubat 2024’te Adalet Komisyonu’na iletilen ve şu an TBMM Genel Kurulu’nda değerlendirme sürecinde bulunan 8. Yargı Paketi uzun süredir KVKK için beklenen kritik değişiklikleri içermektedir.
Değişiklik teklifiyle (“Değişiklik”), KVKK’nın GDPR ile uyumlu hâle getirilmesi ve uygulamadaki ihtiyaçlara çözüm üretilmesi planlanmaktadır. Buna göre KVKK'nın yürürlükteki üç maddesinde değişiklik yapılması ve bu hükümler bakımından GDPR ile daha uyumlu hale getirilmesi öngörülmektedir. Bu kapsamda KVKK m. 6 (Özel nitelikli kişisel verilerin işlenmesi), m. 9 (Kişisel verilerin yurt dışına aktarılması) ve m. 18 (Kabahatler) değiştirilecek, bir geçiş süresi yaratılması için ise geçici bir madde öngörülecektir (Geçici Madde-3).
Değişiklik, iki aşamalı bir geçiş öngörmektedir. Buna göre; açık rızaya dayalı yurt dışına veri aktarımı düzenlemeleri 1 Eylül 2024’e kadar uygulanacak, bu tarihten sonra açık rızaya dayalı bir şekilde yurt dışına sürekli olarak kişisel veri aktarımı gerçekleştirilemeyecektir.
Kalan düzenlemeler ise 1 Haziran 2024’te yürürlüğe girecektir. Bu bağlamda, yasalaşma süreci tamamlandığı takdirde, geçiş hükümlerine uygun şekilde bugüne kadar yapılan tüm uyumlaştırma çalışmalarının gözden geçirilmesi ve belirlenen sürelere kadar yeni düzenlemelere uyumlu yeni yöntemler kurgulanması gerekecektir;
Önerilen değişiklik kapsamında özel nitelikli kişisel verilerin işlenmesindeki kural – istisna sistematiği tamamıyla değiştirilecektir. Özel nitelikli kişisel verilerin hukuki işlenme sebepleri genişletilmektedir. KVKK’da mevcut hüküm özel nitelikli kişisel verilerin işlenmesini ilgili kişinin açık rızası ve kanunlar tarafından öngörülen hallerin varlığıyla sınırlamaktadır. Değişiklik ile özel nitelikli kişisel verilerin istisna olarak işlenmesinin mümkün olduğu durumlar sekiz bent olarak sayılmak suretiyle genişletilecektir. Ancak GDPR’dan farklı olarak istisnai durumların Değişiklik’te sekiz bent hâlinde sayılmakta olduğunu ve GDPR’da yer alan kamusal menfaat gibi ucu açık hukuki işlenme sebeplerinin değişiklik teklifine alınmadığını da belirtmek gerekmektedir.
Özel nitelikli kişisel verilerin işlenmesine ilişkin 6.maddenin önceki hali ve değişiklerle birlikte oluşacak hali aşağıdaki gibidir:
MEVCUT HÜKÜM |
TEKLİF EDİLEN DEĞİŞİKLİK İLE SON HAL |
Özel nitelikli kişisel verilerin işlenmesi
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
|
Özel nitelikli kişisel verilerin işlenmesi
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, Ancak bu verilerin işlenmesi:
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tabii oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde mümkündür.
(3)
(3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
|
KVKK m. 9 kapsamında kişisel verilerin yurt dışına aktarılması bakımından açık rıza merkezli bir yaklaşım söz konusudur. Mevcut madde kapsamında kişisel verinin aktarılacağı ülkede yeterli korumanın bulunması aktarım için bir ön koşul olmakla birlikte, aktarım yapılacak ülkede yeterli korumanın bulunmaması halinde Kişisel Verileri Koruma Kurulu’nun (“Kurul”) onayladığı bir yazılı taahhüdün bulunması halinde veri aktarımı gerçekleştirilebilmektedir. Böyle bir yazılı taahhütnamenin bulunmaması halinde ise, kişinin açık rızasına dayanarak veri aktarımı yapılabilmektedir. Buna karşılık, Değişiklik kapsamında yurtdışı aktarım yapılabilmesi için aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması ön koşul olarak belirlenmiş, böyle bir kararın bulunmaması halinde ise yurt dışına veri aktarılması için tarafların uygun güvencelerden birini (taahhütname, bağlayıcı şirket kuralları (BCR), standard sözleşme hükümleri (SCC), uluslararası sözleşme niteliğinde olmayan sözleşmeler (yurt dışı ve Türkiye’deki kamu kurum, kuruluş, meslek kuruluşları ve uluslararası kuruluşlar arasında imzalanacak olan) sağlaması gerekliliği öngörülmüştür. Aksi takdirde süreklilik arz eden yurt dışına veri aktarımları gerçekleştirilemeyecektir.
Bahsi geçen yeterlilik kararının veya güvencelerin bulunmaması halinde ise, yalnızca arızi yani tek/birkaç sefere mahsus olmak kaydı ile kişisel veri aktarımı yapılması mümkün olacaktır. Ancak bu arızi hallerin de Değişiklik kapsamında belirlendiğini ve sınırlı tutulduğunu belirtmek gerekecektir.
Kişisel verilerin yurt dışına aktarılmasına ilişkin 9.maddenin önceki hali ve değişiklerle birlikte son hali aşağıdaki gibidir:
Değişiklik ile KVKK m. 18’e yeni bir bent eklenerek KVKK m. 9’da sayılan bildirim yükümlülüğünün yerine getirilmemesi halinde de idari para cezası uygulanacağına ilişkin düzenleme getirilmiştir. Buna göre, yurt dışına veri aktarımında kullanılacak standart sözleşmeler 5 iş günü içinde Kurul’a bildirilecek, aksi halde veri sorumlusu veya veri işleyene idari para cezası düzenlenebilecektir.
Ayrıca değişiklikle birlikte, Kurul tarafından verilen idari para cezalarına karşı idare mahkemeleri görevli kılınmaktadır. Böylelikle istisnaları bulunmakla birlikte sulh ceza hakimliklerinin Kurul tarafından verilen idari para cezalarına karşı yeterli inceleme yapmadan karar verdiğine yönelik problemin çözülmesi amaçlanmaktadır.
Kabahatlere ilişkin 9.maddenin önceki hali ve değişiklerle birlikte son hali aşağıdaki gibidir:
MEVCUT HÜKÜM |
TEKLİF EDİLEN DEĞİŞİKLİK İLE SON HAL |
Kabahatler
MADDE 18- (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurul’un yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.
|
Kabahatler
MADDE 18- (1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, d) 9’uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
(2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
(3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.
(4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurul’un yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. |
Her ne kadar 8. Yargı Paketi ile KVKK m. 18 kapsamında verilen kararlara karşı itiraz için idare mahkemeleri yetkili mahkeme olarak belirlenmişse de 1 Haziran 2024 tarihinde halen sulh ceza hakimliğinde görülmekte olan dosyaların işbu hakimliklerde görülmeye devam etmesi öngörülmüştür.
Geçici Madde 3
Kararın tam metnine buradan ulaşabilirsiniz.