Top
+62 7144 3300

8. Yargı Paketı̇ ile 6698 Sayılı Kı̇şı̇sel Verı̇lerı̇n Korunması Kanunu’nda Yapılan Değı̇şı̇klı̇kler

Yazan: Hale Şenuysal | 19 Mart 2024

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”), Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) daha uyumlu olmasını amaçlayan ve uzun süredir beklenen önemli değişiklikleri de içeren Ceza Muhakemesi Kanunu ile bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 12.03.2024 tarihinde Resmî Gazete’de yayımlandı. Yapılan değişikliklerle KVKK’nın uluslararası standartlara uyum sağlaması hedeflenmiştir.

Özel Nitelikli Kişisel Verilerin İşlenme Şartlarındaki Değişiklikler
▪ KVKK md. 6’da düzenlenen özel nitelikli kişisel veriler bakımından; sağlık ve cinsel hayata ilişkin kişisel veriler arasındaki ayrım kaldırılmıştır. Özel nitelikli kişisel verilerin işlenme şartları ise sekiz bent olmak suretiyle genişletilmiş ve ilgili kişinin açık rızası olmasa dahi aşağıdaki şartlardan birinin varlığı halinde işlenmesi mümkün kılınmıştır.

"(3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.”

Tablo 1: Özel Nitelikli Kişisel Veri Hukuki İşleme Sebepleri (KVKK Madde 6)

ESKİ YENİ
Açık rıza Evet Evet
Tüm özel nitelikli kişisel veriler için kanunlarda açıkça öngörülme Hayır Evet
Sağlık ve cinsel hayat dışındaki veriler için kanunlarda öngörülme Evet Hayır
Fiili imkânsızlık Hayır Evet
Alenileştirme Hayır Evet
Bir hakkın tesisi, kullanılması veya korunması için zorunluluk Hayır Evet
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleme Evet Evet
İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülükler için işleme Hayır Evet
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlara ilişkin özel işleme sebebi Hayır Evet

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Değişiklikler
▪ KVKK md. 9’da düzenlenen kişisel verilerin yurt dışına aktarılması bakımından; uygulama neredeyse tamamen değiştirilmiştir. Şöyle ki, mevcut Kanun çerçevesinde kişisel verilerin yurt dışına aktarılabilmesi için; i. İlgili Kişinin açık rızasının olması,
ii. Veri aktarımı, yeterli korumanın bulunduğu güvenli ülkelerden birine yapılıyor ise Kanun’da düzenlenen işleme şartlarından birinin varlığı,
iii. Veri aktarımı, yeterli korumanın bulunduğu güvenli ülkelerden birine yapılıyor ise Kanun’da düzenlenen işleme şartlarından birinin varlığının yanı sıra veri sorumlularının yeterli korumayı taahhüt etmesi ve Kurul’un izninin bulunması
iv. Bağlayıcı Şirket Kurallarının bulunması yeterliydi.

Ancak uygulamada, güvenli ülkelerin Kurul tarafından açıklanmaması ve günümüzde 80’i aşkın taahhüt başvurusu yapılmasına rağmen bunlardan çok azına izin verilmiş olması nedeniyle tek aktarım şartı olarak açık rıza bulunmaktaydı. Bu durum, veri tabanları yurt dışında bulunan ve bulut tabanlı yazlım hizmeti alan ticari şirketleri zorlamakta ve uygulamayı imkânsız hale getirmekteydi. Yapılan değişiklik ile,
i. Yeterlilik kararına dayalı aktarım,
ii. Uygun güvencelere dayalı aktarım,
iii. Arızi durumlara dayalı olmak üzere üç kademeli ve alternatifli bir aktarım rejimi söz konusudur. Bu durumda, kişisel verilerin yurt dışına aktarımında ilgili kişinin açık rızasının alınması ilk dayanak olmaktan çıkarılmıştır.
Veri sorumluları ve veri işleyenler, imzaladıkları standart sözleşmeyi Kurum’a bildirmekle yükümlü kılınmıştır.

Tablo 2: Kişisel Verileri Yurt Dışına Aktarım Yöntemleri (KVKK Madde 9)

YETERLİLİK USULÜ ESKİ YENİ
Sektörel yeterlilik kararı Hayır Evet
Ülke yeterlilik kararı Evet Evet
Uluslararası kuruluş yeterlilik kararı Hayır Evet
AÇIK RIZA ESKİ YENİ
Genel açık rıza Evet Hayır
UYGUN GÜVENCELER USULÜ ESKİ YENİ
Kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları için özel aktarım sebebi Hayır Evet
Bağlayıcı şirket kuralları Evet Evet
Standart sözleşmeler Hayır Evet
Taahhütname Evet Evet
ARIZİ AKTARIM ESKİ YENİ
Muhtemel risklere yönelik bilgilendirilmiş özel açık rıza Hayır Evet
Sözleşmenin ifası ve sözleşme öncesi tedbirlerin uygulanması Hayır Evet
İlgili kişi yararına üçüncü taraf sözleşmeleri Hayır Evet
Üstün bir kamu yararı için zorunluluk Hayır Evet
Hakkın tesisi, kullanılması veya korunması Hayır Evet
Fiili imkânsızlık Hayır Evet
Kamuya açık sicillerden aktarım Hayır Evet
ÖZEL DURUMLAR ESKİ YENİ
Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda aktarımın durdurulması Evet Evet
Uluslararası antlaşmalara dayalı aktarım Evet Evet
Kanunlarda belirtilen özel düzenlemelere dayalı aktarım Evet Evet

▪ Kanun değişikliği ile Kişisel Verileri Koruma Kurulu Kararlarına karşı İdare Mahkemelerinde dava açılabilmesi mümkün kılınmıştır.

▪ Kanun değişikliği 1.06.2024 tarihinde yürürlüğe girecektir. Ancak, 6698 sayılı Kanun’un kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları düzenleyen 9. Maddesinin mevcut birinci fıkrası, maddenin değiştirilen haliyle birlikte 1.09.2024 tarihine kadar uygulanmaya devam edecektir.

Hale ŞENUYSAL

Daha Fazla Bilgi İçin: +90 505 405 37 38