8.Yargı Paketi ile Kişisel Verilerin Korunması Kanunu’nda Yürürlüğe Girecek Olan Değişiklikler
I.GİRİŞ
6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (“KVKK”) değişiklikleri de içeren 8. Yargı Paketi (“Kanun Teklifi”) 16 Şubat 2024 tarihinde Adalet Komisyonu’na iletilmiş ve 21 Şubat itibariyle ilk 14 madde Adalet Komisyo’nu tarafından kabul edilmiştir. Yeni Kanun Teklifi KVKK’ya ilişkin önemli değişiklikleri de içermekte olup, Kanun Teklifi’nin kabulü ile uzun zamandır amaçlanan KVKK’’nın Avrupa Birliği Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumlu hale getirilmesi beklenmektedir.
Kanun Teklifi ile özellikle yurt dışına veri aktarımı, idari yaptırımlar, idari para cezalarına karşı başvurular ve özel nitelikli kişisel verilerin işlenmesinde esaslı değişikliklere gidilmiş olup ilgili değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecektir. Bu bağlamda, özellikle veri sorumluları ve veri işleyenlerin değişikliklere ilişkin adaptasyonu 1 Haziran öncesinde gerçekleştirmeleri uyumluluk süreci açısından önem arz etmektedir.
- Kanun Teklifi ile Öngörülen Değişiklerin Değerlendirilmesi
- Özel nitelikli kişisel verilerin işlenme şartlarına ilişkin değişiklikler
Kanun Teklifi ile özel nitelikli kişisel verilerin işlenmesine ilişkin hukuki sebepler artırılmıştır. Bu bağlamda, sağlık ve cinsel hayata ilişkin kişisel veriler için öngörülen düzenleme kaldırılarak, tüm özel nitelikli kişisel veriler için geçerli olmak üzere 8 işlenme şartı belirlenmiştir. Yürürlükteki sistemdeki;
- İlgili kişinin açık rızası,
- Kanunlarda açıkça öngörülmesi ve
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca: kamu sağlığının korunması, Koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi
hukuki sebepleri Kanun Teklifi’nde de aynı şekilde yer almış ancak bu hukuki sebeplere genel nitelikli kişisel veriler için öngörülen işlenme şartlarından bazıları eklenmiştir. (Bkz. Şekil I. Özel Nitelikli Kişisel Verilerin İşlenme Şartları (Madde 6)). Bununla birlikte sınırlı sayıdaki özel nitelikli kişisel verilerin kapsamında herhangi bir değişiklik öngörülmemiştir.
- Yurtdışına veri aktarımına ilişkin değişiklikler
Kanun Teklifi ile kişisel verilerin yurt dışına aktarılmasında da önemli değişiklikler öngörülmektedir. Aktarımın KVKK’nın 5.maddesinin ikinci fıkrası ile 6.maddesinin üçüncü fıkrasına dayanılarak gerçekleştirilmesi halinde, veri sorumluları tarafından yeterli korumanın yazılı taahhüdü ile Kurul’dan aktarıma ilişkin izin alınması usulü terk edilerek; aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması koşulu ile aktarımın gerçekleştirilebileceği hüküm altına alınmıştır. Bu değişiklik ile beraber, yabancı ülkenin tamamında yeterli korumanın sağlanması koşulu kaldırılmış, bunun yerine yabancı ülke içerisindeki sektör veya uluslararası kuruluşta yeterli korumanın öngörülmesi yeterli görülmüştür.
Yeterlilik kararının bulunmadığı durumda ise, aktarım yapılacak ülkede ilgili kişinin haklarını kullanması ile etkili kanun yollarına başvurma imkanının bulunmasının yanında standart sözleşmenin akdedilmesi, bağlayıcı şirket kurallarının varlığı gibi uygun güvencelerden birinin taraflarca sağlanması öngörülmüştür. Bu şekilde, veri aktarımı sürecinde daha fazla şeffaflık ve hukuki güvenilirlik sağlanması hedeflenmektedir.
Son olarak yeterlilik kararının ve uygun güvencelerin yokluğu halinde, arizi olmak kaydı ile üstün kamu yararı için aktarımın zorunlu olması, sözleşmenin ifa edilmesi için aktarımın zorunlu olması gibi sebeplere dayanılarak aktarımın gerçekleştirilebileceği belirtilmiştir. Ayrıca, mevcut düzende de var olan açık rızaya dayanılarak yurt dışı aktarımının gerçekleştirilmesine ilişkin hukuki sebep “ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla” şeklinde bir ibare eklenerek yeni sistemde de öngörülmektedir. Açık rızanın her halükarda işleme faaliyetine ilişkin aydınlatma yükümlülüğü yerine getirilerek alınması gerektiği göz önüne alındığında, ilgili ibarenin açık rıza hukuki sebebine ilişkin ek bir yükümlülük getirmediği, değişikliğin riskler hakkında ilgili kişinin bilgilendirilmesinin önemini vurgulamaktan ibaret olduğu açıktır. (Bkz. Şekil Kişisel Verilerin Yurt Dışına Aktarılması (Madde 9))
- Öngörülen diğer değişiklikler
Kanun Teklifi ile yurt dışına aktarıma ilişkin yeni bir idari para cezasının uygulanması öngörülmüştür. Bu düzenlemeye göre, kişisel verilerin yurt dışına aktarımı için standart sözleşme akdedilmesi halinde, sözleşmenin imzalanmasından 5 gün içinde Kişisel Verileri Koruma Kurum'unu (“Kurum”) bilgilendirme yükümlülüğü getirilerek, bildirim yükümlülüğünün ihlali halinde hem veri sorumluları hem de veri işleyenler nezdinde 50.000 ile 1.000.000 arasında bir idari para cezasının söz konusu olacağı belirtilmiştir. (Bkz. Şekil III. Geçiş Hükmü (Geçici Madde 3-18.Madde)) Böylece bu düzenleme ile ilk defa veri işleyenler nezdinde idari yaptırım öngörülmüştür. Ayrıca, idari para cezalarına karşı idare mahkemesinde dava açma imkanı getirilmiş, ancak 1 Haziran 2024 tarihine kadar sulh ceza hakimliğinde bulunan dosyaların yine sulh ceza hakimliği tarafından nihai olarak karara bağlanacağı belirtilmiştir.
III. SONUÇ
Kanun Teklifi ile öngörülen değişikliklerin KVKK’nın GDPR ile uyumlu hale getirilmesi açısından önemli bir gelişme olduğu açıktır. Hem özel nitelikli kişisel veriler hem de yurt dışına veri aktarımı için işleme şartları artırılmıştır. Özellikle, iş hayatında sıklıkla kullanılan bulut bazlı yazılım ve uygulamaların birçoğunun sunucularının yurt dışında bulunması, bu uygulama ile yazılımların kullanılması ile otomatik olarak gerçekleşen yurt dışı aktarımının ticari hayatı zedelediği değerlendirilerek yurt dışı aktarımında dayanılabilecek hukuki sebeplerin artırılması yoluna gidilmiştir. Bu değişiklikler, hem kişisel verilerin korunması hem de iş dünyasının ihtiyaçları açısından önemli bir adımı temsil etmektedir.
Saygılarımızla,
Tunca Avukatlık Ortaklığı
