Turkey: Kişisel Verilerin Korunması Kanunu'nda Beklenen Değişiklikler Son Düzlükte

Kişisel Verilerin Korunması Kanunu'nda ("Kanun") uzun zamandır beklenen değişiklikleri de içeren kanun teklifi ("Değişiklik Teklifi") Türkiye Büyük Millet Meclisi'ne ("TBMM") sunuldu ve Adalet Komisyonu, Anayasa Komisyonu ve Plan ve Bütçe Komisyonu tarafından değerlendirildikten sonra kısa süre içerisinde yasalaştırılması beklenmektedir.

Değişik Teklifi veri sorumlularını ilgilendiren kapsamlı değişiklik önerileri içermektedir. Değişiklik Teklifi'nin kabul edilmesi ile birlikte özel nitelikli kişisel verilerin işlenmesi, yurt dışına veri aktarımı, idari yaptırımlar ve idari yaptırımlara karşı yapılacak başvurular bakımından önemli değişiklikler yürürlüğe girecektir.

Değişikliklerin teklif edildiği şekilde kabul edilmesi halinde veri sorumlularının Kanun'a uyum için yaptıkları çalışmaları gözden geçirmeleri, aydınlatma metinlerini güncellemeleri, yurt dışı aktarımın taraflarıyla Kişisel Verileri Koruma Kurumu'na ("Kurum") sunulacak standart sözleşme hükümlerini kabul ederek bu hükümleri Kurum'a bildirmeleri gerekebilecektir. Ayrıca, değişiklikler ile birlikte yurt dışı aktarımı bakımından bildirim yükümlülüğünün ihlal edilmesi halinde veri işleyenler hakkında da idari para cezası uygulanabilecektir. Değişiklik Teklifi'nin 1 Haziran 2024 tarihinde yürürlüğe girmesi planlanmaktadır. Veri sorumlularının ve veri işleyenlerin süreci yakın şekilde takip etmesi ve veri işleme süreçlerini değişikliklere uygun hale getirmek adına çalışmalara başlaması önerilmektedir.

Özel Nitelikli Kişisel Verilerin İşlenmesi

Özel nitelikli kişisel verilerin işlenmesine ilişkin hukuki nedenlerin düzenlenmesi planlanmaktadır. Buna göre, özel nitelikli kişisel verilerin ancak aşağıdaki nedenlerin bulunması durumunda işlenebileceği düzenlenecektir:

• İlgili kişinin açık rızasının olması,
• Kanunlarda açıkça öngörülmesi,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
• İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
• Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
• İstihdam, iş ve sosyal güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
• Siyasi parti, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Bu hallerden en az birinin yokluğu halinde özel nitelikli kişisel verilerin işlenemeyeceği ve yasak olduğu açıkça düzenlenmiştir.

Yurt Dışı Veri Aktarımı

Mevcut düzenleme ve kurallara ek olarak kişisel verilerin yurt dışına aktarımına ilişkin de kapsamlı düzenleme yapılması planlanmaktadır. Değişiklik Teklifi'ne göre:

• Kişisel Verileri Koruma Kurulu'nun ("Kurul") Yeterlilik kararlarının ülkelere ek olarak uluslararası kuruluş veya ülke içerisindeki sektörler hakkında da verilebileceği, verilebilecek bu kararlara uygun olarak yurt dışına veri aktarımı yapılabileceği öngörülmüştür.
• Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşlarının yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile yapacağı uluslararası sözleşme niteliğinde olmayan anlaşmaların varlığı halinde de Kurul'dan izin alınması kaydıyla yurt dışına veri aktarılabileceği düzenlenmektedir.
• Kurul'un yetkilerine dayanarak alternatif bir mekanizma olarak kabul ettiği bağlayıcı şirket kurallarının da Kanun'a eklenmesi öngörülmüştür. Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı halinde ortak ekonomik faaliyette bulunan teşebbüs (şirketler topluluğu) bünyesindeki şirketlerin bu kurallar kapsamında yurt dışına veri aktarabileceği belirtilmiştir.
• Türkiye'nin ve ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda da ilgili kamu kurum ve kuruluşunun görüşü alınarak Kurul'un izni ile verilerin yurt dışına aktarılabileceği düzenlenmiştir.
• Veri sorumluları ve veri işleyen en majör değişiklik önerisi, Avrupa Birliği Genel Veri Koruma Tüzüğü'nde ("GDPR") bulunan "Standard Contractual Clauses" benzeri bir mekanizmanın kabul edilmesi olacaktır. Buna göre, Kurul tarafından içeriği belirlenecek ve ilan edilecek standart bir sözleşmenin veri aktarımının tarafları arasında imzalanması halinde de kişisel verilerin açık rıza aranmaksızın yurt dışına aktarılabileceği düzenlenmektedir. Ancak GDPR uygulamasından farklı olarak bu sözleşmelerin 5 iş günü içerisinde Kurum'a bildirilmesi gerekecektir.

Ayrıca, yurt dışı aktarımının belirlenen prensiplere uygun olmadığı bazı arızi durumlarda da yurt dışı aktarımı yapılabileceği hüküm altına alınmıştır. İstisnai olarak kabul edilmesi gereken bu durumlar şöyledir:

• İlgili kişilerin muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermeleri,
• Aktarımın ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
• Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
• Aktarımın üstün bir kamu yararı için zorunlu olması,
• Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
• Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Yurt dışına yapılan aktarımlardan sonraki aktarımlara ilişkin de düzenleme yapılmıştır. Veri sorumlusu ve veri işleyenlerin bu gibi sonraki aktarımları için de Kanun'a uymak zorunda oldukları düzenlenmiştir.

Değişiklik Teklifi'nin kabul edildiği durumda da veri sorumlularının ve veri işleyenlerin diğer mevzuattan kaynaklanan sınırlamaları olabileceği kabul edilmiş, özel nitelikteki bu düzenlemelerin öncelikli olarak uygulanacağı belirtilmiştir.

Kurum'un yurt dışı aktarımına ilişkin usul ve esasları, ayrı bir yönetmelik ile düzenlenmesi beklenmektedir.

Yeni İdari Para Cezası

Yukarıda belirtildiği üzere veri sorumluları ve veri işleyenlere yurt dışı aktarımı için imzalayabilecekleri standart sözleşmeleri 5 iş günü içerisinde Kurum'a bildirme yükümlülüğü getirilmiştir. Buna aykırı davranılması halinde hem veri sorumluları hem de veri işleyenler hakkında 50.000.- TL'den 1.000.000.- TL'ye kadar idari para cezası uygulanabilecektir.

Yargı Yolu

Bilindiği üzere, Kanun uyarınca Kurul'un idari para cezasına ilişkin kararlarına karşı ancak sulh ceza hakimliklerine başvurulabilmektedir ve idari yargı yoluna ancak Kurul'un para cezası ile birlikte ya da sadece başka bir idari yaptırım uygulaması halinde gidilebilmektedir. Değişiklik Teklifi ile birlikte Kurul'un idari para cezalarına karşı da idare mahkemelerinde dava açılabileceği düzenlenmektedir.

1 Haziran 2024 itibariyle sulh ceza hakimlikleri nezdinde görülmekte olan başvurular, bu hakimliklerce görülmeye devam edecektir.

Özet Değerlendirme

Değişiklik Önerisi, Kanun'u GDPR'a yaklaştırmaktadır ve uygulamada karşılaşılan pek çok soruna cevap vermektedir. Öte yandan, yeni düzenlemeler ile birlikte, Kanun'a uyum adına hazırlanan aydınlatma metinleri ve rıza formları açısından da değişiklik yapılması gerekecektir. Ayrıca, özellikle yurt dışına aktarıma ilişkin GDPR uygulamasından farklı olarak standart sözleşmelerin Kurum'a bildirilmesi gündeme gelecektir.

Değişiklik Teklifi'nin kabul edilmesi ile Kurum'un yurt dışı aktarımlara ilişkin yönetmelik çıkarması ve standart sözleşme hükümlerini ilan etmesi beklenmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.