6698 SAYILI KİŞİSEL VERİLERİN KORUNMASI KANUNUNDA
NELER DEĞİŞTİ?
Ferihan Melikoğlu
26 Nisan 2016
tarihinde yürürlüğe giren 6698 sayılı Kişisel Verileri Koruma Kanununda “Ceza
Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararname’de
Değişiklik Yapılmasına Dair Kanun Teklifi” 02.03.2024 tarihinde kabul edilerek 7499
sayılı “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair
Kanun” 12.03.2024 tarihli ve 32487 sayılı Resmî Gazetede yayımlanarak değişiklik
yapılmasına karar verilmiştir. 1 Haziran 2024 tarihinde yürürlüğe girecek olan
değişiklikler ise özel nitelikli kişisel verilerin işlenme şartları, kişisel
verilerin yurtdışına aktarılması ve kabahatler maddeleri ile ilgili olarak karşımıza
çıkmaktadır.
Özel nitelikli kişisel verilerin işlenme şartları
Yapılan
değişikliklerin ilki Madde.6 Özel Nitelikli Kişisel Verilerin İşlenme
Şartlarında karşımıza çıkmaktadır. Kanunun ilk halinde özel nitelikli kişisel
veriler ilgili kişinin (kişisel veri sahibi) açık rızası olmadan
işlenememekteydi. Bu durumun 2 istisnası mevcuttu. Birincisi sağlık ve cinsel hayat dışındaki kişisel veriler yalnızca
kanunların öngörülen hallerde açık rıza şartı olmaksızın işlenebilmekteydi.
Sağlık ve cinsel hayat verileri ise ancak kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, bakım ve tedavi gibi amaçlarla sır saklama yükümlülüğü
altındaki kişilerce işlenmesine izin verilmekteydi.
Değişiklik sonrası ise özel
nitelikli verilerin işlenme şartları Madde.5 Kişisel Verilerin İşlenme Şartları
altındaki meşru menfaat haricindeki diğer istisnaları da kapsamış ve eklenen
yeni maddelerle işlenme şartlarının kapsamı genişlemiş oldu.
Madde.6’da yapılan değişiklik ile özel nitelikli kişisel
verilerin işlenmesi şartları aşağıdaki gibi olmuştur.
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere
ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için
zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler
veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu
hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık
hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik,
sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine
getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla
kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların,
tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı
olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve
mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan
kişilere yönelik olması,
Kişisel verilerin yurtdışına aktarılması
Kanunda yapılan
en büyük değişiklik Madde.9 Kişisel Verilerin Yurtdışına Aktarılması konusunda
gerçekleşmiştir.
Yeni madde ile
birlikte aktarım koşulları;
-
Kurul tarafından resmi Gazetede yayımlanacak
olan yeterlilik kararı verilen kuruluşlara aktarım yapılabileceği ifade
edilmiştir. Buna ek olarak yeterlilik
kararı verilmesinde dikkat edilecek hususları da tanımlamıştır.
-
Yeterlilik kararı olmayan durumlarda ise
verilerin işlenme istisnalarından (Madde 5 ve Madde 6’da tanımlı istisnalar)
birinin mevcudiyeti ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını
kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartı ile
birlikte veri aktarım taraflarından birinin vereceği güvence ile de aktarım
yapılabileceği ifade edilmektedir. Söz konusu güvenceler ise:
o
Uluslararası sözleşme niteliğinde olmayan
anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
o
Kurul tarafından onaylanan bağlayıcı şirket
kurallarının varlığı
o
Alınacak teknik ve idari tedbirler, özel
nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden
standart sözleşmenin varlığı (bu sözleşme taraflarca imzalanmasından itibaren 5
gün içerisinde Kuruma bildirilmelidir. Aksi durumda Kabahatler maddesine yeni
eklenen fıkra ile “d) 9 uncu maddenin
beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler
hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,” ceza
düzenlenmesi söz konusu olacaktır.)
-
Aktarım için yeterlilik kararı olmayan ve
tarafların aktarım için tanımlı güvencelerden birini sağlayamaması durumunda
ise aktarım istisnalarına göre aktarıma
izin verilmektedir.
Şeklinde
belirlenmiştir.
MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı
ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası
kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve
veri işleyenler tarafından yurt dışına aktarılabilir.
(2) Yeterlilik kararı, Kurul tarafından verilir ve
Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve
kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir
değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer
hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya
alabilir veya kaldırabilir.
(3) Yeterlilik kararı verilirken öncelikle aşağıdaki
hususlar dikkate alınır:
a) Kişisel verilerin aktarılacağı ülke, ülke
içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında
kişisel veri aktarımına ilişkin karşılıklılık durumu.
b) Kişisel verilerin aktarılacağı ülkenin ilgili
mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası
kuruluşun tâbi olduğu kurallar.
c) Kişisel verilerin aktarılacağı ülkede veya
uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun
varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya
uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası
sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d) Kişisel verilerin aktarılacağı ülkenin veya
uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel
kuruluşlara üye olma durumu.
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.
(4) Kişisel veriler, yeterlilik kararının bulunmaması
durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili
kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun
yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun
güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri
işleyenler tarafından yurt dışına aktarılabilir:
a) Yurt dışındaki kamu kurum ve kuruluşları veya
uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu
kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme
niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin
verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu
bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin
korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan
bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri,
veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından
alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan
ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı
yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
(5) Standart sözleşme, imzalanmasından itibaren beş iş
günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.
(6) Veri sorumluları ve veri işleyenler, yeterlilik
kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden
herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki
hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
a) İlgili kişinin, muhtemel riskler hakkında
bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu
arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan
sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve
diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması
veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu
olması.
d) Bir hakkın tesisi, kullanılması veya korunması için
kişisel verilerin aktarılmasının zorunlu olması.
e) Fiili imkânsızlık nedeniyle rızasını
açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün
korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık
olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların
sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım
yapılması.
(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu
kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.
(8) Veri sorumlusu ve veri işleyenler tarafından, yurt
dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası
kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve
bu madde hükümleri uygulanır.
(9) Kişisel veriler, uluslararası sözleşme hükümleri
saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir
şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun
görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(10) Kişisel verilerin yurt dışına aktarılmasına
ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar
yönetmelikle düzenlenir.”
Kabahatler
Kanunda değişen
bir diğer madde ise Madde.18 Kabahatler maddesidir. Bu madde genel hatları ile
aynı kalmakla birlikte kişisel verilerin yurt dışına aktarılması kapsamında
gerekli olan ve taraflarca imzalanacak olan standart sözleşmenin imzalanma
tarihinden itibaren 5 iş günü içinde Kurum’a bildirilmesi gerekliliğini yerine
getirmeyenler için ekleme yapılmıştır.
“d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim
yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000
Türk lirasına kadar,”
Ayrıca verilecek
idari para cezalarının da uygulanacağı taraflar belirlenmiş olup Kurul’un
vereceği bu cezalara karşı İdare Mahkemelerinde dava açma yolu açılmıştır.
“(2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde
öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para
cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel
kişileri hakkında uygulanır.”
Bu değişiklikler
neticesinde özel nitelikli kişisel verilerin işlenmesindeki istisnaların
kişisel verilerin işlenme şartları ile paralellik göstererek genişlediğini,
kişisel verilerin yurtdışına çıkarılması ile ilgili istisnaların daha açık hale
geldiğini ve aktarım şartlarının esnetildiği aynı zamanda açık rıza olmadan
yurt dışına veri aktarımı gerekliliklerinin çerçevesinin daha belirginleştiği
görülmüştür.