Kişisel verilerin korunmasına ilişkin yeni kurallar uygulamaya başlıyor

Gürdoğan Yurtsever

-Kişisel Verilerin Korunması Kanunu’nun bazı maddelerinde değişiklik yapan kanun, Türkiye Büyük Millet Meclisi (TBMM) tarafından onaylanarak 12 Mart 2024 tarihinde Resmi Gazete’de yayımlandı. Değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecek. Yapılan düzenleme ile başta özel nitelikli kişisel veriler ve kişisel verilerin yurt dışına aktarımı alanlarında olmak üzere önemli bazı değişiklikler yapıldı

-Daha önce kanunda yer alan özel nitelikli kişisel verilerin sadece kişilerin açık rıza vermeleri halinde işlenebilmesine ilişkin düzenleme kaldırıldı. Özel nitelikte kişisel verilerin açık rızanın yanı sıra kanunda sayılan şartların oluşması durumunda da işlenebilmesi imkanı getirildi. Özel nitelikli kişisel veri tanımında yer alan sağlık ve cinsel hayata ilişkin veri ile diğer özel nitelikli kişisel veri ayrımı kaldırıldı.

Kişisel verilerin korunmasını isteme hakkı, günümüzde insan haklarını korumanın temel araçlarından birisi olarak kabul ediliyor. Bu kapsamda, kişisel verilerin korunması kanunu 2016 Nisan ayında Resmi Gazete’de yayımlanmış, daha sonra Kişisel Veri Koruma Kurulu’na atamalar yapılmış ve Kişisel Verileri Koruma Kurumu (KVKK) 2017 Ocak ayında faaliyetine başlamıştı.

Türkiye için oldukça yeni olan bu alandaki düzenleme ve uygulamaların giderek geliştiğini ifade etmek yanlış olmayacak. Kişisel verilerin korunması alanında Avrupa Birliği’nde Genel Veri Koruma Tüzüğü (GDPR) bulunuyor. Ülkemizdeki kanunun AB düzenlemeleri ile uyumlu olmasını sağlamaya yönelik bir süredir çalışma yürütülüyordu. Bu kapsamda kanunun bazı maddelerinin değiştirilmesine yönelik hedef “Orta Vadeli Program”da da yer almıştı.

KİŞİSEL VERİLERİN KORUNMASI KANUNU’NDA DEĞİŞİKLİKLER YAPILDI

Belirtilen çalışmalar tamamlandı ve Kişisel Verilerin Korunması Kanunu’nun bazı maddelerinde değişiklik yapan kanun Türkiye Büyük Millet Meclisi (TBMM) tarafından onaylanarak 12 Mart 2024 tarihinde Resmi Gazete’de yayımlandı. Değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecek. Yapılan düzenleme ile başta özel nitelikli kişisel veriler ve kişisel verilerin yurt dışına aktarımı alanlarında olmak üzere önemli bazı değişiklikler yapıldı. Bu değişikliklerin AB Genel Veri Koruma Tüzüğü ile paralel olduğu görülüyor. Bunun yanı sıra uygulamada yaşanan çeşitli sorunlar kapsamında ortaya çıkan ihtiyaçlar, kurum ve kuruluşların talepleri, gelişen teknolojik yeniliklere uyum sağlanması gibi hususların da değişikliklerde dikkate alındığı anlaşılıyor.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI GENİŞLEDİ

Daha önce kanunda yer alan özel nitelikli kişisel verilerin sadece kişilerin açık rıza vermeleri halinde işlenebilmesine ilişkin düzenleme kaldırıldı. Özel nitelikte kişisel verilerin açık rızanın yanı sıra kanunda sayılan şartların oluşması durumunda da işlenebilmesi imkanı getirildi. Özel nitelikli kişisel veri tanımında yer alan sağlık ve cinsel hayata ilişkin veri ile diğer özel nitelikli kişisel veri ayrımı kaldırıldı. Böylece özel nitelikli kişisel verilerin tamamı aynı işleme şartlarına tabi haline geldi.

Özel nitelikli kişisel veriler; açık rızanın yanı sıra kanunlarda açıkça öngörülen hallerde, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde, alenileştirildiğinde, kamu sağlığının korunması, koruyucu hekimlik ve sağlık hizmetlerinin yürütülmesi, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması gibi kanunda sayılan hallerde de işlenebilecek.

KİŞİSEL VERİLERİN YURT DIŞINA AKTARIMI KOLAYLAŞIYOR

Yapılan değişiklik ile kişisel verilerin yurtdışına aktarımını da kolaylaştıran hükümler getiriliyor. Mevcut durumda kişisel verilerin yurtdışına aktarılmasında kural olarak açık rıza alınması söz konusu iken bu durumun ortaya çıkardığı sorunlar dikkate alınarak yapılan düzenleme ile bu yaklaşım terkedilerek kademeli bir yaklaşım benimseniyor.

Ülke, ülke içindeki sektörler veya uluslararası kuruluşlar hakkında “yeterlilik kararı” olması durumunda veri sorumluları veya veri işleyenler tarafından kişisel veriler yurt dışına aktarılabilecek. Yeterlilik kararı, kanunda yer verilen şartlar dikkate alınarak Kişisel Verileri Koruma Kurulu (KVKK) tarafından verilecek ve Resmi Gazete’de yayımlanacak.

Kurul tarafından verilmiş bir yeterlilik kararının bulunmaması fakat kanunda yer verilen “uygun güvencelerden birinin sağlanması” durumunda veya her ikisinin de olmaması durumunda kanundaki maddede sınırlı sayıda belirtilen “arızi/istisnai” hallerden birinin varlığı halinde yurt dışına aktarım yapılabilecek.

VERİ İŞLEYENLERİN YÜKÜMLÜLEKLERİ ARTIYOR

Yurtdışına veri aktarımı için uygun güvenceler altında belirtilen standart sözleşmelerin imzalanması halinde veri işleyen veya veri sorumlusu tarafından 5 iş günü içerisinde Kurum’a bildirilmesi gerekiyor. Bu bildirim yükümlülüğünün yerine getirilmemesi durumunda veri sorumlusunun yanı sıra veri işleyene de 1 milyon TL’ye kadar idari para cezası uygulanabilecek. Böylece, veri sorumlularının yanı sıra veri işleyenlerin de yurtdışına aktarım yapabileceği vurgulanıyor. Bununla birlikte yapılan bu değişiklik ile veri işleyen gerçek kişiler ile özel hukuk tüzel kişilerine de ilk kez idari para cezası verilebileceği düzenleniyor. Böylece teknolojik gelişmelerin de etkilediği yeni iş modelleri kapsamında önemi çok artan veri işleyenlerin sorumlulukları dünyadaki gelişmelere paralel olarak artıyor.

İDARİ YAPTIRIM KARARLARINA KARŞI İDARE MAHKEMELERİNE DAVA AÇABİLECEK

Yurtdışına aktarıma ilişkin usul ve esaslar yönetmelik ile ayrıca düzenlenecek. Bununla birlikte 1 Eylül 2024 tarihine kadar açık rıza alınarak kişisel verilerin yurt dışına aktarılmasına yönelik mevcut uygulamaya devam edilebilecek.

Kişisel Verileri Koruma Kurulu tarafından verilen idari yaptırım kararlarına karşı sulh ceza mahkemelerine başvuru yapılması yerine idare mahkemelerinde dava açılması imkanı getiriliyor. Böylece yapılan bu değişiklik ile Kurul tarafından verilen idari para cezalarının yargılama yolu değiştiriliyor.

UYUM ÇALIŞMALARININ ZAMANINDA TAMAMLANMASI GEREKİYOR

Yapılan düzenlemelerin uygulamada yaşanan çeşitli tereddüt ve zorluklara çözüm üretmek açısından oldukça önemli olduğu görülüyor. Yapılan bu değişikliklerin uygulanmasına yönelik Kurul tarafından çıkarılacak yönetmelikte tereddütlü konularda daha detaylı açıklamalar yapılması da bekleniyor.

Şirketlerin getirilen bu değişikliklere uyum sağlaması bakımından bünyelerinde gerekli uyum çalışmalarını yürütmesi, öngörülen süre içinde politika ve veri işleme süreçlerini gözden geçirmesi, aydınlatma ve açık rıza metinlerini güncellemesi, veri envanteri ve VERBİS güncellemelerini yapması, veri işleme faaliyetinin parçası olan tüm çalışanların değişiklikler hakkında yeterli düzeyde bilgilendirilmesi gibi gerekli tüm çalışmaları tamamlamaları önem taşıyor.

Gürdoğan Yurtsever

Mevzuat Uyum Derneği Başkanı

yurtsever@turcomoney.com