23 Şubat 2024

16 Şubat 2024 tarihinde Türkiye Büyük Millet Meclisine 8. Yargı Paketi kapsamında, “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi” (“Kanun Teklifi”) sunulmuştur. Teklif çerçevesinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) Avrupa Genel Veri Koruma Tüzüğü’ne uyumunun arttırılması kapsamında birtakım değişiklikler öngörülmüştür.

Kanun Teklifi’nde yapılması planlanan değişikliklerden ilki, özel nitelikli kişisel verilerin işlenme şartlarına ilişkindir. Mevcut düzenlemede, özel nitelikli verilerin işlenebilmesi, sadece ilgili kişinin açık rızası ile mümkün olmakta, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel verilerin ise açık rıza alınmaksızın sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi amaçlarla, sır saklama yükümlülüğü altında bulunan kişi ve kurumlarca işlenebileceği öngörülmektedir. Kanun Teklifi’nde sağlık veya cinsel hayat ayrımına gidilmeksizin, tahdidi olarak sayılan hallerden birinin varlığı halinde de özel nitelikli verilerin işlenmesi mümkün olabilecektir. Bu maddenin değiştirilme gerekçelerinden dikkat çekici olanı ise, başta sigortacılık sektörü olmak üzere, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında faaliyet gösteren kuruluşların da sağlık verisine ihtiyaç duyması nedeniyle, açık rıza alınmasına gerek olmaksızın söz konusu kurumlar ile de özel nitelikli verilerin paylaşılmasına izin verilerek, bu alanlardaki iş akışının daha efektif şekilde ilerlemesine katkı sağlamaktır.

Kanun Teklifi’nde yer alan bir diğer düzenleme ise Kanun’un kişisel verilerin yurtdışına aktarılma koşullarına ilişkindir. Mevcut hükümde, kişisel verilerin yurtdışına aktarılabilmesi için kural olarak ilgili kişinin rızası haricinde, Kanun’da her türlü kişisel verilerin açık rıza alınmaksızın işlenebilmesi için belirtilen şartlardan birinin bulunması ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından kişisel verilerin aktarılacağı ülke bakımından yeterli korumanın bulunduğuna karar verilmiş olması  veya yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması gerekmekteydi. Planlanan değişiklik kapsamında ise öncelikle mevcut hükümden farklı olarak aktarım yapılacak yabancı ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde yeterlilik kararı verilmesine imkân tanınmaktadır. Bu değişikliğin amacı Kanun Teklifi’nde, Kurul’a birçok taahhütname başvurusunda bulunulduğu ancak bunlardan çok azına izin verildiği; bu durumun, ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği ve Ülkemize yapılacak yatırımları da engelleyici bir hal aldığı şeklinde belirtilmektedir.

Bununla birlikte, Kanun Teklifi ile yeterlilik kararının alınma usulü ve karar verilirken dikkate alınacak hususlara ilişkin hükümler teklif edilmiş olup Kurul tarafından verilecek yeterlilik kararının en geç dört yılda bir değerlendirileceği, ilgili kurum ve kuruluşlardan görüş alınabileceği ve gerekli görüldüğü takdirde kararın değiştirilebileceği, askıya alınabileceği veya kaldırılabileceği düzenlenmiştir. İlgili değişiklik önerisinde yeterlilik kararı verilirken Kurul’un dikkate alacağı ölçütler de sınırlı sayıda olmaksızın belirtilmiştir.

Kişisel verilerin yurtdışına aktarımı ile ilgili olarak ayrıca, hakkında yeterlilik kararı bulunmayan ülkelere kişisel veri aktarılması bakımından yeni yöntemler getirilmiştir. Hakkında yeterlilik kararı bulunmayan ülke ve ilgili ülkedeki uluslararası kuruluş veya sektörlere kişisel verilerin aktarılabilmesi için; “açık rıza olmaksızın veri işlenmesine imkân veren şartlardan” birinin varlığı ve aktarımın yapılacağı ülkede de ilgili kişinin haklarını kullanma ve kanun yollarına başvurma imkânının bulunması hususları aranmıştır. Ayrıca, ilgili değişiklik önerisinde belirtilen “uygun güvencelerden” birinin de sağlanması gerekmektedir. Uygun güvence olarak öngörülen yöntemlerden biri Kurul tarafından ilan edilen veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığıdır. Bu güvenceye ilişkin olarak ise, standart sözleşmenin imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kurul’a bildirilmesi gerektiği hususu düzenlenmiştir.

Diğer yandan, yeterlilik kararı bulunmayan ve uygun güvencelerden herhangi birinin de sağlanamadığı sınırlı sayıdaki istisnai durumlarda ise süreklilik taşımayacak şekilde yurt dışına veri işlenebilmesinin önü açılmıştır.

Kanun Teklifi ile standart sözleşmenin akdedildiği hususunda Kurul’a bildirim yükümlülüğünü yerine getirmeyenler hakkında idari para cezası öngörülmüştür. Akabinde idari para cezasının veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında da uygulanacağı belirtilmiştir. Ayrıca, Kurul tarafından verilen idari para cezalarına karşı sulh ceza hâkimliğine başvuru yerine idare mahkemelerine dava açılması imkânı tanınmıştır.

CLIENT ALERT


For further information, please contact:


YAYLA ALTUFAN KONUKÇU
Attorneys at Law
+ 90 (212) 236 36 44
[email protected]
www.yaklaw.com

Levent Mah. Sülün Sok. N.23
34330, Beşiktaş/Istanbul

Bu yayın, hukuki gelişmelere ilişkin genel ve limitli bilgi içermektedir. Bu yayın, hukuki görüş ve yönlendirme içermemektedir ve bu şekilde yorumlanmamalı ve kullanılmamalıdır.