8. Yargı Paketi olarak nitelendirilen 7499 Sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun 12.03.2024 tarihli Resmi Gazete'de yayımlanmıştır. Yargı paketiyle ceza hukuku, icra hukuku, kişisel verilerin korunması hukuku ve hukukta süreler dahil birçok alanda önemli değişiklikler yapılmıştır. Bu yazımızda kişisel verilerin korunması hukukunu ilgilendiren değişiklikler incelenecektir.

A. Özel Nitelikli Kişisel Verilerin İşlenme Şartlarında Yapılan Değişiklikler

Yeni yargı paketiyle özel nitelikli kişisel verilerin işlenme şartları gevşetilmiştir. Önceden özel nitelikli kişisel verilerin işlenmesi ilginin açık rızası bulunmadığı taktirde yasaktı. Değişiklikle beraber özel nitelikli kişisel verilerin işlenmesinin yasak olduğu tekrarlanmış fakat açık rıza dışında ek kıstaslar getirilerek özel nitelikli kişisel verilerin işlenmesi kolaylaştırılmıştır.

Değişikliğe göre bu verilerin işlenmesi;

  • İlgili kişinin açık rızasının olması,
  • Kanunlarda açıkça öngörülmesi,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması hâlinde mümkün kılınmıştır.

B. Kişisel Verilerin Yurtdışına Aktarılması Şartlarında Yapılan Değişiklikler

Kişisel verilerin yurtdışına aktarılmasında değişiklikler yapılmıştır. Değişiklikle beraber yurtdışına aktarım için genel ve özel nitelikli kişisel verilerin işlenme şartlarından birinin sağlanması gerekmektedir.

İlgili kişinin açık rızası aranmaksızın genel nitelikli kişisel verilerin işlenebilmesi için bunun

  • Kanunlarda açıkça öngörülmesi.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  • İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması gerekmektedir.

Özel nitelikli kişisel verilerin işlenme şartları ise değişikliğe uğramış ve değişik şartlar yukarıda belirtilmiştir.

Yeterlilik Kararının Alınması

İşleme şartlarının aranmasından başka veri aktarımının yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması gerekmektedir. Yeterlilik kararı Kişisel Verileri Koruma Kurulu tarafından verilir. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınacaktır:,

  • Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
  • Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
  • Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
  • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
  • Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye'nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
  • Türkiye'nin taraf olduğu uluslararası sözleşmeler.

Bu hususlar kanun değişikliğinden önce de genel hatlarıyla mevcuttu. Ancak değişiklikle beraber kanundaki ifadeler değiştirilmiş ve konu biraz daha detaylandırılmıştır.

Yeterlilik şartlarının bulunmadığı durumda veri aktarımı

Kişisel verilerin işlenmesi şartlarının bulunduğu, fakat yeterlilik kararının bulunmadığı durumlarda da kişisel verilerin bazı şartlara uyulmak koşuluyla yurtdışına aktarılabileceği düzenlemesi getirilmiştir. Buna göre ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması ve bazı güvencelerin sağlanması gerekecektir.

Bu güvenceler arasında şunlar yer almaktadır:

  • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
  • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
  • Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
  • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin imzalanmasından itibaren beş iş günü içinde sözleşme veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

Güvencenin bulunmadığı durumda geçici veri aktarımı

Yeni yargı paketi, yeterlilik kararının ve güvencelerin bulunmadığı bazı durumlarda da geçici olarak veri aktarılabileceğini düzenlemiştir. Bu haller arasında şunlar yer almaktadır:

  • İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
  • Aktarımın üstün bir kamu yararı için zorunlu olması.
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından aynı şartlar aranacaktır.

Önemle belirtmek gerekir ki kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye'nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

D. İdari para cezaları

Kişisel verilerin yurtdışına aktarılması konusunda idari para cezaları ve idari merci bağlamında değişiklikler yapılmıştır. Buna göre sözleşmeyi bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacaktır. Bu cezadan sorumlu olacak kişiler veri sorumlusu veya veri işleyen sıfatına sahip gerçek ve özel hukuk tüzel kişileridir.

8. Yargı Paketiyle Kişisel Verileri Koruma Kurulu tarafından verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabileceği düzenlenmiştir. Önceden davalar sulh ceza hakimliklerinde görülmekteydi, fakat 01.06.2024 tarihinden sonra açılacak davalar idare mahkemelerinde açılacaktır.

E. Yürürlük

KVKK alanında yapılan bu değişiklikler 01.06.2024 tarihinde yürürlüğe girecektir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.