6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”), Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) daha uyumlu olmasını amaçlayan ve uzun süredir beklenen önemli değişiklikleri de içeren Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 12.03.2024 tarihinde Resmî Gazete’de yayımlandı.
Yapılan değişikliklerle KVKK’nın uluslararası standartlara uyum sağlaması hedeflenmiştir.
Özel Nitelikli Kişisel Verilerin İşlenme Şartlarındaki Değişiklikler
- KVKK 6. maddede düzenlenen özel nitelikli kişisel veriler bakımından; sağlık ve cinsel hayata ilişkin kişisel veriler arasındaki ayrım kaldırılmıştır. Özel nitelikli kişisel verilerin işlenme şartları ise sekiz bent olmak suretiyle genişletilmiş ve ilgili kişinin açık rızası olmasa dahi aşağıdaki şartlardan birinin varlığı halinde işlenmesi mümkün kılınmıştır.
“(3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun
olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
hallerinde mümkündür.”
Tablo 1: Özel Nitelikli Kişisel Verinin Hukuki İşleme Sebepleri (KVKK Madde 6)
| ESKİ | YENİ | |
| Açık rıza | Evet | Evet |
| Tüm özel nitelikli kişisel veriler için kanunlarda açıkça öngörülme | Hayır | Evet |
| Sağlık ve cinsel hayat dışındaki veriler için kanunlarda öngörülme | Evet | Hayır |
| Fiili imkânsızlık | Hayır | Evet |
| Alenileştirme | Hayır | Evet |
| Bir hakkın tesisi, kullanılması veya korunması için zorunluluk | Hayır | Evet |
| Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleme | Evet | Evet |
| İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülükler için işleme | Hayır | Evet |
| Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlara ilişkin özel işleme sebebi | Hayır | Evet |
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Değişiklikler
- KVKK’nın 9. maddesinde düzenlenen kişisel verilerin yurt dışına aktarılması bakımından uygulama neredeyse tamamen değiştirilmiştir. Şöyle ki, mevcut Kanun çerçevesinde kişisel verilerin yurt dışına aktarılabilmesi için
- İlgili kişinin açık rızasının olması,
- Veri aktarımı, yeterli korumanın bulunduğu güvenli ülkelerden birine yapılıyor ise Kanun’da düzenlenen işleme şartlarından birinin varlığı,
- Veri aktarımı, yeterli korumanın bulunduğu güvenli ülkelerden birine yapılmıyor ise Kanun’da düzenlenen işleme şartlarından birinin varlığının yanı sıra veri sorumlularının yeterli korumayı taahhüt etmesi ve Kurul’un izninin bulunması
- Bağlayıcı Şirket Kuralları’nın bulunması yeterliydi.
Ancak uygulamada, güvenli ülkelerin Kurul tarafından açıklanmaması ve günümüzde 80’i aşkın taahhüt başvurusu yapılmasına rağmen bunlardan çok azına izin verilmiş olması nedeniyle tek aktarım şartı olarak açık rıza bulunmaktaydı. Bu durum, veri tabanları yurt dışında bulunan ve bulut tabanlı yazılım hizmeti alan ticari şirketleri zorlamakta ve uygulamayı imkânsız hale getirmekteydi. Yapılan değişiklik ile,
- Yeterlilik kararına dayalı aktarım,
- Uygun güvencelere dayalı aktarım,
- Arızi durumlara dayalı aktarım olmak üzere üç kademeli ve alternatifli bir aktarım rejimi söz konusudur. Bu durumda, kişisel verilerin yurt dışına aktarımında ilgili kişinin açık rızasının alınması ilk dayanak olmaktan çıkarılmıştır.
Veri sorumluları ve veri işleyenler, imzaladıkları standart sözleşmeyi Kurum’a bildirmekle yükümlü kılınmıştır.
Tablo 2: Kişisel Verileri Yurt Dışına Aktarım Yöntemleri (KVKK Madde 9)
| ESKİ | YENİ | |
| YETERLİLİK USULÜ | ||
| Ülke yeterlilik kararı | Evet | Evet |
| Uluslararası kuruluş̧ yeterlilik kararı | Hayır | Evet |
| Sektörel yeterlilik kararı | Hayır | Evet |
| AÇIK RIZA | ||
| Genel açık rıza | Evet | Hayır |
| UYGUN GÜVENCELER USULÜ | ||
| Kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları için özel aktarım sebebi | Hayır | Evet |
| Bağlayıcı şirket kuralları | Evet | Evet |
| Standart sözleşmeler | Hayır | Evet |
| Taahhütname | Evet | Evet |
| ARIZİ AKTARIM | ||
| Muhtemel risklere yönelik bilgilendirilmiş̧ özel açık rıza | Hayır | Evet |
| Sözleşmenin ifası ve sözleşme öncesi tedbirlerin uygulanması | Hayır | Evet |
| İlgili kişi yararına üçüncü taraf sözleşmeleri | Hayır | Evet |
| Üstün bir kamu yararı için zorunluluk | Hayır | Evet |
| Hakkın tesisi, kullanılması veya korunması | Hayır | Evet |
| Fiili imkânsızlık | Hayır | Evet |
| Kamuya açık sicillerden aktarım | Hayır | Evet |
| ÖZEL DURUMLAR | ||
| Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda aktarımın durdurulması | Evet | Evet |
| Uluslararası antlaşmalara dayalı aktarım | Evet | Evet |
| Kanunlarda belirtilen özel düzenlemelere dayalı aktarım | Evet | Evet |
- Kanun değişikliği ile Kişisel Verileri Koruma Kurulu kararlarına karşı İdare Mahkemelerinde dava açılabilmesi mümkün kılınmıştır.
- Kanun değişikliği 01.06.2024 tarihinde yürürlüğe girecektir. Ancak, 6698 sayılı Kanun’un kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9. maddesinin mevcut birinci fıkrası, maddenin değiştirilen haliyle birlikte 01.09.2024 tarihine kadar uygulanmaya devam edecektir.
Av. Hale Şenuysal
Cumhuriyet Bayramı Özel Serisi
Bir cevap yazın