Kişisel Verilerin Korunması Kanunu'nda (“Kanun”) uzun zamandır beklenen değişiklikleri içeren kanun teklifi (“Değişiklik Teklifi”) Türkiye Büyük Millet Meclisi komisyonları tarafından incelenmeye başladı.

Değişiklik Teklifi'nin kabul edilmesi ile birlikte, özel nitelikli verilerin işlenmesi, yurt dışına veri aktarımı, idari yaptırımlar ve idari para cezalarına karşı yapılacak başvurular bakımından önemli değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecektir.

Veri sorumluları ve veri işleyenler bakımından yapılan önemli değişiklikler, özetle, aşağıdaki gibidir:

  • Özel Nitelikli Kişisel Verilerin İşlenmesi: Sağlık ve cinsel hayata ilişkin veriler de dahil özel nitelikli kişisel verilerin işlenmesi rejiminin değiştirilmesi planlanmaktadır. Buna göre, mevcut düzenlemelere ek yeni hukuki nedenler ışığında da bu verilerin açık rıza aranmaksızın işlenmesi mümkün olacaktır. Örneğin, özel nitelikli kişisel verilerin bir hakkın tesisi, kullanılması veya korunması için ve istihdam, iş ve sosyal güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olduğu durumlarda da açık rıza aranmaksızın işlenebileceği öngörülmektedir. Yine, ilgili kişi tarafından alenileştirilen özel nitelikli verilerin alenileştirme iradesine uygun şekilde işlenmesi de mümkün olacaktır.
  • Yurt Dışı Veri Aktarımı ve Yeni İdari Yaptırım: Yurt dışı aktarımına ilişkin önemli değişiklikler yapılması planlanmaktadır. Avrupa Birliği Genel Veri Koruma Tüzüğü'nde (“GDPR”) bulunan “Standard Contractual Clauses” benzeri bir mekanizma kabul edilebilir. Kişisel Veri Koruma Kurulu tarafından içeriği belirlenecek ve ilan edilecek standart bir sözleşmenin, veri aktarımının tarafları arasında imzalanması halinde kişisel verilerin açık rıza aranmaksızın yurt dışına aktarılabileceği düzenlenmektedir. Ancak GDPR uygulamasından farklı olarak bu sözleşmelerin 5 iş günü içerisinde Kişisel Verileri Koruma Kurumu'na bildirilmesi gerekecektir. Buna aykırı davranılması halinde hem veri sorumluları hem de veri işleyenler hakkında 50.000.- TL'den 1.000.000.- TL'ye kadar idari para cezası uygulanabilecektir.

Kişisel verilerin yurt dışına aktarılmasının “bir hakkın tesisi, kullanılması veya korunması için zorunlu olması” veya “bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması” gibi bazı hallerde de açık rıza aranmaksızın kişisel verilerin yurt dışına aktarılabilmesi mümkün olacaktır.

  • Yargı Yolu:  İdari para cezalarına karşı idare mahkemelerinde dava açılabilmesi mümkün olacaktır.

Değişiklik Önerisi, Kanun'u GDPR'a yaklaştırmaktadır ve uygulamada karşılaşılan pek çok soruna cevap vermektedir. Öte yandan, Kanun'a uyum adına hazırlanan aydınlatma metinleri ve rıza formları açısından değişiklik yapılması gerekecektir.

Veri sorumlularının ve veri işleyenlerin, Değişiklik Önerisi'ni kapsamlı şekilde değerlendirmeleri ve 1 Haziran 2024 tarihi itibariyle süreçlerini güncellemek için gerekli çalışmaları en kısa süre içerisinde başlatmaları önerilmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.