No: 3
Tarih: 20/02/2024
Konu: 8. Yargı Paketi Teklifinin Kişisel Verilerin Korunması Kanunu Özelinde Getirdiği ve Genel Veri Koruma Tüzüğüne Uyumu İçerir Düzenlemeler
Kamuoyunda 8. Yargı Paketi olarak anılan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (“Teklif”), TBMM Başkanlığına sunulmuştur.
Teklif’in genel gerekçeleri arasında kişisel verilerin korunması kapsamında;
- 24/3/2016 tarihli ve KVKK hazırlık sürecinde 24 Ekim 1995 tarihli ve 95/46/AT sayılı Kişisel Verilerin İşlenmesi Bakımından Bireylerin Korunması ve Bu Tür Verilerin Serbest Dolaşımı Hakkında Avrupa Parlamentosu ve Konsey Direktifi’nin nazara alındığı,
- KVKK’nın yürürlüğe girmesinden iki yıl sonra bu Direktif’in yürürlükten kaldırıldığı ve daha ayrıntılı düzenlemeler içeren 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation-GDPR) 28/5/2018 tarihinde yürürlüğe konulduğu,
- Genel Veri Koruma Tüzüğünün yürürlüğe girmesinden sonra çeşitli eylem planlarında KVKK’nın, Tüzük nazara alınarak güncellenmesi hedefine yer verildiği,
- 2021 yılında açıklanan İnsan Hakları Eylem Planında, Ekonomi Reformları Eylem Planında ve 2024-2026 Orta Vadeli Programda GDPR’a uyum sağlanması hedeflerine yer verildiği,
- Bu kapsamda Teklifle öncelikle ihtiyaç duyulan özel nitelikli kişisel verilerin işlenme şartları ile yurt dışına veri aktarımına ilişkin hükümlerde değişiklik yapıldığı,
belirtilmiş olup, ilgili alanlarda düzenlemeleri içermektedir.
Teklif ile getirilen değişiklikler
I. KVKK’nın 6. maddesinin ikinci fıkrası değiştirilerek, üçüncü fıkrası yürürlükten kaldırılmıştır.
Teklif edilen düzenlemeyle, özel nitelikli kişisel verilerin işlenme şartları, güncel ihtiyaçlar ve Avrupa Birliği Genel Veri Koruma Tüzüğü nazara alınarak yeniden düzenlenmektedir. Maddenin ikinci fıkrasında özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm muhafaza edilmekte ve özel nitelikli kişisel verilerin işlenebileceği haller tahdidi olarak sayılmaktadır.
MADDE 6
|
|
Yürürlükteki Düzenleme |
Teklif Edilen Düzenleme |
|
a) ilgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç) ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.
|
II. KVKK’nın 9. maddesi değiştirilmiştir.
Yapılan değişiklikler, kişisel verilerin yurt dışına aktarılmasına ilişkin kuralları güncellemekte, yurt dışına kişisel veri aktarımını daha esnek hale getirirken, ilgili kişilerin haklarının korunmasını sağlamayı ve GDPR’daki ilgili hükümlerle uyumlu hale getirmeyi amaçlamaktadır. Değişikliklerin özeti şu şekildedir:
• Yeterlilik Kararı: Kişisel veriler, KVKK’nın 5. ve 6. maddelerinde belirtilen veri işleme şartlarından birinin varlığı halinde ve yeterlilik kararı verilmiş ülkelere, uluslararası kuruluşlara veya ülke içindeki belirli sektörlere aktarılabilecektir. Yeni düzenleme, yeterlilik kararının sadece belirli bir ülke geneline değil, aynı zamanda o ülkenin belirli sektörlerine veya uluslararası kuruluşlara verilebilmesine olanak tanımaktadır. Yeterlilik kararının alınma usulü güncellenmiş olup, Kurulun dört yılda bir yeterlilik kararını değerlendirme zorunluluğu getirilmiştir. Değerlendirme yapılmadığı takdirde, mevcut yeterlilik kararları geçerliliğini koruyacaktır. Kurul, değerlendirme sonuçlarına göre yeterlilik kararını değiştirebilecek, askıya alabilecek veya kaldırabilecektir.
• Uygun Güvenceler: Hakkında yeterlilik kararı bulunmayan ülkelere veri aktarımı ise, belirli uygun güvencelerin sağlanması durumunda mümkün olacaktır. Bu güvenceler arasında kamu kurumları arası anlaşmalar, bağlayıcı şirket kuralları ve standart sözleşmenin varlığı veya yeterli koruma sağlayacak taahhütnamelerin imzalanması ve Kurulun izniyle yeterlilik kararı bulunmayan ülkelere veri aktarımı yapılabilecektir.
• İstisnai Durumlar: Yeterlilik kararı olmayan ve uygun güvenceler sağlanamayan durumlarda, bazı istisnai durumlar dışında, kişisel verilerin yurt dışına aktarılması mümkündür. Bu istisnalar, tek seferlik ve süreklilik göstermeyen durumlar için geçerli olacaktır.
• Kamu Kurumlarına Özel Durum: Kamu kurum ve kuruluşlarının, kamu hukukuna tabi faaliyetleri için 6. fıkranın uygulanmayacağı belirtilmiştir, bu da kamu kurumlarının belirli durumlarda daha esnek veri aktarımı yapabilmesine olanak tanımaktadır.
• Düzenlemelerin Uygulanması: Maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenecektir.
MADDE 9
|
|
Yürürlükteki Düzenleme |
Teklif Edilen Düzenleme |
|
a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar. c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması. ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu. d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu. e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.
a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi. b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması. c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. ç) Aktarımın üstün bir kamu yararı için zorunlu olması. d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
|
III. KVKK’nın 18. maddesi değiştirilmiştir.
Yapılan değişiklikler, aşağıdaki ana noktaları içermektedir:
• Yeni Kabahat: Veri sorumluları ve veri işleyenler, imzaladıkları standart sözleşmeyi Kurul’a bildirmekle yükümlü kılınmıştır. Bu yükümlülüğün yerine getirilmemesi durumunda idari yaptırımların uygulanacağı belirtilmiştir. Bunun yanı sıra, KVKK’nın 18. maddesinin ikinci fıkrasında yapılan değişiklikle, idari para cezalarının uygulanması detaylandırılmıştır. Bu cezalar, veri sorumlusu olan gerçek kişilere ve özel hukuk tüzel kişilerine uygulanacak şekilde düzenlenmiştir. Ayrıca, standart sözleşmenin bildirilmesi konusunda veri işleyenlere de sorumluluk yüklenmiş ve bu sorumluluğa uymamanın yaptırımı olarak idari para cezası öngörülmüştür.
• Yargı Yolu: Kurul tarafından verilen idari yaptırım kararlarına karşı yapılabilecek itirazların yoluyla ilgili bir değişiklik yapılmıştır. Daha önce sulh ceza hakimliklerine yapılan başvurular yerine, artık idare mahkemelerine dava açılması imkanı getirilmiştir. Bu değişiklikle, idari yaptırım kararlarına itiraz süreci daha net bir hukuki çerçeveye kavuşturulmuştur.
MADDE 18 |
|
Yürürlükteki Düzenleme |
Teklif Edilen Düzenleme |
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
|
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.
|
GEÇİCİ MADDE 3
|
Teklif Edilen Düzenleme
|
|
Kişisel verilerin korunmasına yönelik detaylı hukuki değerlendirme ve diğer tüm hukuki danışmanlık hizmetleri için bizlerle iletişime geçebilirsiniz.
Saygılarımızla.
Kuzey YMM ve Bağımsız Denetim A.Ş.
Erkan Baykuş
Yukarıda yer verilen açıklamalarımız, konuya ilişkin genel bilgiler içermektedir. EY ve/veya Kuzey YMM ve Bağımsız Denetim A.Ş.’ye, işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.