Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararname’de Değişiklik Yapılmasına Dair Kanun Teklifi (“Teklif”), 02.03.2024 tarihinde Türkiye Büyük Millet Meclisi Genel Kurulu’nda kabul edilmiş ve Teklif’in 41. maddesi kanunlaşmış olup 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Kanun”) 12.03.2024 tarihli ve 32487 sayılı Resmî Gazete’de yayımlanmıştır.
Kanun ile KVKK’nın Avrupa Birliği Genel Veri Koruma Tüzüğü’ne uyumlu hale getirilmesi hedeflenerek özel nitelikli kişisel verilerin işlenme şartları ile yurt dışına aktarımına ilişkin hükümlerde değişiklik yapılmıştır. Bu kapsamda, KVKK’nın 6., 9., 18. maddelerinde yapılan değişiklikler ile KVKK’ya eklenen Geçici 3. madde 01.06.2024 tarihinden itibaren yürürlüğe girecek olup söz konusu mevzuat değişiklikleri aşağıda detaylıca irdelenmiştir.
A. “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” Kapsamındaki Değişiklikler:
KVKK’nın “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6. maddesinde yapılan değişiklik ile özel nitelikli kişisel veriler altındaki sağlık ve cinsel hayata ilişkin veri ve diğer özel nitelikli kişisel veri arasındaki ayrım kaldırılmış olup özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm muhafaza edilerek;
- İlgili kişinin açık rızasının olması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması
durumları sayılarak kişisel verilerin işlenebileceği haller belirtilmiştir. Böylece kişisel verilerin işlenme şartları için öngörülen hukuka uygunluk sebepleri Kanun ile yapılan değişiklik kapsamında genişletilmiştir.
Bir diğer ifade ile, Kanun ile yapılan değişiklikten önce sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler yalnızca KVKK’nın 6. maddesinde sayılan hallerin varlığı halinde açık rıza aranmaksızın işlenebilirken diğer özel nitelikli kişisel veriler kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilmekteydi. Kanun ile yapılan değişiklikten sonra özel nitelikli kişisel veriler içerisindeki ayrım kaldırılmış ve tüm özel nitelikli kişisel verilerin işlenme şartları genişletilerek hüküm altına alınmıştır.
B. “Kişisel Verilerin Yurt Dışına Aktarılması” Kapsamındaki Değişiklikler:
KVKK’nın “Kişisel Verilerin Yurt Dışına Aktarılması” başlıklı 9. maddesinde yapılan değişiklik ile kişisel verilerin ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağına yönelik anlayış esnetilmiş olup yapılan değişiklik ile kişisel verilerin birtakım gerekliliklerin sağlanması halinde yurt dışına aktarılabileceği düzenlenmiştir.
Bu kapsamda, kural olarak kişisel veriler;
- KVKK’nın 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı,
- Aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması,
şartlarının birlikte var olması durumunda veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir. (i) numaralı maddede belirtilen şart kapsamında ise herhangi bir değişiklik öngörülmemiş olup kişisel verilerin işlenme şartlarının önemi değişiklik ile de korunmaya devam edilmiştir.
Bunun yanı sıra, (ii) numaralı maddede belirtilen yeterlilik kararı hakkında usul ve esaslar da yine KVKK’nın 9. maddesi altında düzenlenmiş olup yapılan değişik ile önceki düzenlemede yer alan yeterli koruma ile ilgili belirsizliklerin bir nebze ortadan kalkması sağlanmıştır.
Yeterlilik kararının bulunmaması durumunda ise yine KVKK’nın 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ile ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından kişisel verilerin yurt dışına aktarılabileceği düzenlenmiştir:
- Yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından aktarıma izin verilmesi.
- Kişisel verilerin korunmasına ilişkin hükümler ihtiva eden Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
- Kurul tarafından ilan edilen hususları ihtiva eden standart sözleşmenin varlığı.
- Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
(iii) numaralı maddede düzenlenen standart sözleşmenin akdedildiğine ilişkin olarak 5 (beş) iş günü içerisinde Kişisel Verileri Koruma Kurumu’na (“Kurum”) veri sorumlusu veya veri işleyen tarafından bildirim yapılması gerektiği de yine değişiklikler arasındadır.
Son olarak, yapılan değişiklik öncesi Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına veri aktarımı mümkünken değişiklik ile yeterlilik kararının bulunmaması ve işbu durumda öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi, tek sefere mahsus, veri aktarımları için ise bazı istisnalar getirilmiştir. Bu noktada eklemek gerekir ki, söz konusu istisnalar süreklilik arz eden veri aktarımlarına uygulanamayacaktır.
C. “Kabahatler” Kapsamındaki Değişiklikler:
Yukarıda da belirtildiği üzere, KVKK’nın 9. maddesi ile kişisel verilerin yurt dışına aktarılması konusundaki anlayış kapsamında bir değişikliğe gidilmiş olup yeterlilik kararının bulunmaması durumunda belirtilen uygun güvencelerden biri olarak belirtilen “Kurul tarafından ilan edilen hususları ihtiva eden standart sözleşmenin varlığı.” uyarınca düzenlenen standart sözleşmenin akdedildiğine ilişkin olarak 5 (beş) iş günü içerisinde Kurum’a bildirim yapılması gerekmektedir.
KVKK’nın “Kabahatler” başlıklı 18. maddesi kapsamında yapılan değişiklik ile işbu bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmolunacağı düzenlenmiş olup değişiklikten önce KVKK’nın 18/2. maddesi uyarınca idari para cezaları yalnızca veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanmakta iken yapılan değişiklik ile bildirim yükümlülüğüne ilişkin olarak öngörülen idari para cezasının veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı düzenlenmiştir.
Bunun yanı sıra, değişiklik öncesinde Kurul tarafından verilen idari para cezası kararlarına yönelik itirazlar için sulh ceza hakimliklerine başvuru yapılabilmekteyken yapılan değişiklikten sonra Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerinde dava açılabilecektir.
D. Geçici Madde 3’ün İncelenmesi:
KVKK kapsamında yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girecek olmakla birlikte Geçici Madde 3 uyarınca KVKK’nın 9. maddesinin eski hali yeni hali ile beraber 01.09.2024’e kadar birlikte uygulanacaktır. Bir diğer ifade ile, 01.09.2024’e kadar veri sorumluları açık rızaya dayalı olarak yurt dışına veri aktarımı yapabilecek olmakla birlikte işbu tarihe kadar açık rızaya dayalı olarak gerçekleştirilen yurt dışına veri aktarım faaliyetlerinin değişiklikle getirilen yeni kurallara uygun hale getirilmesi gerekmektedir. Ek olarak, Geçici Madde 3 uyarınca 01.06.2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular sonuçlanıncaya kadar sulh ceza hâkimliklerince görülmeye devam olunacaktır.
