Ersan Şen Hukuk ve Danışmanlık - Kişisel Verilerin Korunması Kanununda Yapılan Değişiklikler

Aleyna Çarpar

Elif Bengü Aydın

Beyza Kuver

Kişisel Verilerin Korunması Kanununda Yapılan Değişiklikler
26.03.2024 / Stj. Av. Aleyna Çarpar- Stj. Av. Beyza Kuver- Stj. Av. Elif Bengü Aydın

 

6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (“Kanun”), Kanun’un uluslararası uyumunu hedefleyen değişiklikleri de içeren 8. Yargı Paketi (“Kanun Teklifi”) 16 Şubat 2024 tarihinde Adalet Komisyonu’na iletilmiş ve 2 Mart 2024 tarihi itibariyle kabul edilmiştir. Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 12.03.2024 tarihli ve 32487 sayılı Resmi Gazete ile yayımlanmıştır. İşbu yazımızda kanun değişikliği ile  Kişisel Verileri Koruma Kanunu açısından yapılan değişiklikler incelenecektir.

8. Yargı Paketi ile 6. Madde’de Öngörülen Değişiklikler

Özel Nitelikli Kişisel Veriler

8. Yargı Paketiyle birlikte, özel nitelikli kişisel verilerin işlenmesini düzenleyen; 6698 Sayılı Kişisel Verilerin Korunması Kanunu madde 6’da değişiklikler yapılmıştır. Kanunda; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbiriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak adlandırılmıştır. Özel nitelikli kişisel verilerin hukuka aykırı işlenmesi kişilerin; din ve vicdan hürriyeti, düşünce ve kanaat hürriyeti, özel hayatın gizliliği ve korunması gibi temel hak ve özgürlükleri üzerinde ciddi olumsuz etkiler yaratabilecektir. Dolayısıyla bu verilerin işlenmesi diğer verilerin işlenmesinden farklı düzenlemelere tabi tutulmuştur.

Mevcut düzenlemede özel nitelikli kişisel veriler ancak ilgilinin açık rızası ile veya kanunda öngörülen hallerde işlenebilirken, getirilen yeni düzenleme ile birlikte özel nitelikli kişisel verilerin hukuki işleme sebepleri genişletilmiştir. Yeni düzenlemede; açık rıza ve kanunlarda açıkça öngörülmenin yanında fiili imkansızlık halinde, ilgili kişinin verilerini alenileştirdiği durumlarda, bir hakkın tesisi ve korunmasında, maddede sayılan kişilerce tıbbi amaçlar doğrultusunda kullanıldığı hallerde, istihdam ilişkisinde, siyasi, felsefi, sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluşlarca eski ve yeni üyelerine yönelik olması durumunda özel nitelikte kişisel verilerin işlenmesi mümkün hale getirilmiştir.

Özel nitelikli kişisel verilerin işlenmesinde, mevcut düzenlemede açık rıza dışında hukuki işleme şartları oldukça sınırlıdır. Bu durum uygulamada birçok problem meydana getirmektedir. Kural olarak kişinin özgür iradesine bağlı olarak alınması gereken açık rıza, uygulamada sıklıkla zorunlu olarak alınma halini beraberinde getirmektedir. Bu durum özellikle istihdam ilişkisinde oldukça yaygın bir problemdir. Getirilen değişiklikle birlikte, açık rızanın zorunlu olarak alınmasına gerek duyulmaksızın, kanunda sayılan durumlarda özel nitelikli kişisel veriler yalnızca aydınlatma metniyle aydınlatılarak işlenebilecektir. Dolayısıyla uygulamada yaşanan probleme çözüm olacağı düşünülebilecektir.

Önemli bir değişiklik ise, yeni düzenlemeyle birlikte halihazırda Kanun’un 6. maddesinin 3. fıkrasında yer alan sağlık ve cinsel hayata dair kişisel veriler ile özel nitelikli kişisel veriler arasındaki ayrım ortadan kaldırılmıştır. Böylelikle sağlık ve cinsel hayata ilişkin veriler de, özel nitelikte kişisel veriler ile aynı işlem şartlarına tabi tutulmuştur.

8. Yargı Paketiyle, Kanun’un Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uyumlu hale getirilmesi amaçlanmıştır. Bu doğrultuda, Kanun madde 6’da özel nitelikli kişisel verilerin hukuki işleme şartlarının genişletilmesiyle birlikte GDPR ile uyumlu hale getirilmiştir. Fakat GDPR’dan farklı olarak genel kamusal menfaat ile verileri arşivleme, araştırma ve istatistiksel nedenlerle kullanma gibi açık uçlu hukuki işleme sebepleri ilgili kanun maddesinde yer verilmemiştir.

Gerçekleştirilen değişikliklerin ne zaman yürürlüğe gireceği ise Kanun m.40’da düzenlenmiştir. Buna göre özel nitelikli kişisel verilere ilişkin düzenlemeler 1 Haziran 2024 tarihi itibari ile yürürlüğe girecektir.

Sonuç olarak 8. Yargı paketiyle birlikte madde 6’da gerçekleştirilen değişiklikler ile birlikte özel nitelikli kişisel verilerin işlenmesi engellenmiş ve bunun istisnası olarak özel nitelikli kişisel verilerin işleme sebepleri genişletilerek GDPR ile uyumlu hale getirilmiştir. Bununla birlikte Kanun’un 6. maddesinin 3. fıkrası kaldırılmış, böylelikle sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ile diğer özel nitelikle kişisel veriler arasındaki ayrım ortadan kaldırılmıştır. Bu noktada, getirilen düzenlemelerle özel nitelikli kişisel verilerin işlenmesinin günümüzün durum ve şartlarına uygun hale getirilmeye çalışıldığını ve uygulamadaki “açık rıza” krizini bir nebze rahatlatacağı düşünülmektedir.

                                                                                                                

                  MEVCUT  MADDE

Özel nitelikli kişisel verilerin işlenme şartları

 

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

 

 (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

 

 (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

 

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

 

 

 

 

                   DEĞİŞİKLİK MADDESİ

Özel nitelikli kişisel verilerin işlenme şartları

 

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

 

(2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.

 

(3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

8. Yargı Paketi ile 9. Madde’de Öngörülen Değişiklikler

Kişisel Verilerin Yurtdışına Aktarılması

Kanun’da yapılan değişikliklerden biri de “kişisel verilerin yurtdışına aktarılması” başlıklı 9. maddede mevcut bulmuştur.

Kanun m.9 uyarınca kişisel verilerin yurt dışına aktarılması bakımından açık rıza merkezli bir yaklaşım benimsenmektedir. Mevcut madde bakımında kişisel verilerin aktarımı için ön koşul, aktarılan ülkede yeterli korumanın bulunması olup bu korumanın bulunmaması halinde Kurul’un onayladığı bir yazılı taahhüdün bulunması halinde veri aktarımı gerçekleştirebilmektedir. Eğer yazılı bir taahhütname yok ise kişinin açık rızasına dayanarak veri aktarımı yapılabilmektedir.

Kanun teklifi ile kişisel verilerin yurt dışına aktarılması için tamamen yeni ve önceki düzenlemelerle farklı bir sistematik benimsenerek kapsamlı hale getirilmiştir. Yapılan değişiklik ile veri sorumlusu ve veri işleyenler açısından somut ve öngörülebilir hükümlere yer verilmiştir.

Mevcut düzenlemede yeterli korumanın bulunduğu ülkeler Kurul tarafından belirlenerek ilan edileceği düzenlemesi yer alırken, değişiklik ile ilanın Resmi Gazete’de yayımlanacağı ilave edilmiştir. Ayrıca yeni düzenleme ile, değerlendirme sonucunda veya gerekli görülen hallerde Kurul’un yeterlilik kararını ileriye etkili olmak üzere değiştirebileceği, askıya alabileceği veya kaldırabileceği kanun kapsamına alınmıştır.

Kanun değişikliği ile birlikte, kişisel verilerin yurt dışına aktarılmasında üç ihtimal ile düzenleme getirilmiştir. Buna göre i. yeterlilik kararının bulunması halinde, ii. yeterlilik halinin bulunmaması halinde (güvencelerin bulunması hali ve bulunmaması hali olarak ikiye ayrılmaktadır) aktarımın nasıl yapılacağı farklılık arz etmektedir.

Değişiklik kapsamında yurtdışı aktarım yapılabilmesinin ön koşulu Kanun m.5 ile m.6’da belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülkede uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararın bulunmasıdır.

Yeterlilik kararın bulunmaması halinde ise, Kanun m.5 ve m.6’da belirtilen şartlardan birinin varlığı sağlanmışsa, tarafların uygun güvencelerden birini (taahhütname, bağlayıcı şirket kuralları (BCR), standart sözleşme hükümleri (SCC), uluslararası sözleşme niteliğinde olmayan sözleşmeleri (yurt dışı ve Türkiye’deki kamu kurum, kuruluş, meslek kuruluşları ve uluslararası kuruluşlar arasında imzalanacak olan) sağlaması ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yolarına başvurma imkanının bulunması kaydıyla ile yurt dışına veri aktarımı gerçekleştirilebilecektir.

Yeterlilik kararının ve güvencelerin bulunmaması halinde ise Kanun’da sayılı belirli koşullarda (riskler hakkında aydınlatma akabinde verilen açık rıza, sözleşmenin kurulması veya ifası gibi sayılı durumlarda) arızi olmak kaydıyla, kişisel veri aktarımı mümkün hale getirilmiştir.

Böylece 8. Yargı Paketiyle, Kanun’un Avrupa Birliği Genel Veri Koruma Tüzüğü’ne uyumlu hale getirilmesi amaçlanmıştır. Kanun’da ayrıca, detayların yönetmelikle belirleneceği düzenleme altına alınmıştır. Böylelikle mevcut halde soyut ve öngörülebilir niteliği haiz olmayan işbu maddenin açık ve öngörülebilir hale getirildiğini ve yerinde bir düzenleme olduğunu önemle belirtmek isteriz.

Ve yine geçici 3. madde ile “9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 01/09/2024 tarihine kadar uygulanmaya devam olunur.” denilerek ilgili maddenin hangi tarihte yürürlüğe gireceği düzenlenmiştir.

                     

Kişisel verilerin yurt dışına aktarılması MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

 

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

 

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

 b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

 d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

 

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

 

 (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

 

 

 

 

 

 

 

 

Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete'de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

 

(3) Yeterlilik karan verilirken öncelikle aşağıdaki hususlar dikkate alınır:

a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.

b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.

c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.

ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.

d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye'nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.

e) Türkiye'nin taraf olduğu uluslararası sözleşmeler.

 

(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

 

(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

 

(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.

b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

ç) Aktarımın üstün bir kamu yararı için zorunlu olması.

d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

 

(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

 

8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.

 

(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye'nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

 (11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

 

 

GEÇİCİ MADDE 3-

(1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

8. Yargı Paketi ile 18. Madde’de Öngörülen Değişiklikler

Kabahatler

Son olarak, Kanun değişikliği kapsamında gerçekleştirilen diğer bir değişiklik ise 18. maddede meydana gelmiştir. Şöyle ki 18. maddedeki “kabahatler” başlığı altındaki değişiklik ile idari yaptırımlarda önemli ve beklenen bir değişiklik yapılmıştır. İlgili maddenin birinci fıkrasına yeni bir bent eklenmek suretiyle, Kanun’un değişiklik ile 9. maddesi 5. fıkrasında öngörülen bildirim yükümlülüğünün yerine getirilmemesi halinde yükümlülüğü yerine getirmeyenler hakkında 50.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası uygulanacağı belirlenmiştir. Buna göre, veriyi yurt dışına aktarma halinde kullanılacak standart sözleşmeler 5 iş günü içinde veri sorumlusu veya veri işleyen tarafından Kurum’a bildirilecek olup, aksi halde bildirimde bulunmayanlar yeni düzenleme ile birlikte idari para cezası ile cezalandırılacaktır. Bu düzenleme ile birlikte veri sorumlusu ve veri işleyenler hakkında yeni bir kabahat öngörülmüştür.

Yine, 18. maddeye ilk fıkradan sonra gelecek şekilde yeni bir fıkra eklenerek ikinci fıkrada değişikliğe gidilmiştir. Bu değişiklik ile birlikte “Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.” düzenleme altına alınmıştır. Bu hüküm ile birlikte; ilgili maddenin birinci fıkrasının (a), (b), (c), ve (ç) bentlerinde öngörülen para cezalarının yalnızca veri sorumlusu gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı düzenlenirken yukarda bahsi geçen bildirim yükümlülüğüne aykırılık halinde öngörülen para cezasının veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı ibaresi eklenmiştir. Bu değişikliği 18. maddeye eklenen d bendi gerekli kılmış olup, bildirim yükümlülüğünün ihlali halinde hem veri sorumluları hem de veri işleyenler sorumlu tutulmuştur.

Kurul tarafından verilen idari para cezalarına karşı uyuşmazlıklar Sulh Ceza Hakimliklerinde görülmekte iken yeni getirilen düzenleme ile birlikte kurulca verilen idari para cezalarına karşı idare mahkemelerinde dava açılabileceği düzenlenerek idare mahkemeleri görevli kılınmıştır. Sulh Ceza Hakimliklerinde verilen kararlara yönelik gerekçesiz ve öngörülemez olduğu eleştirisi gözönünde bulundurulduğunda, getirilen bu değişiklik ile yeterli inceleme yapılarak karar verilmesi amaçlandığı ve bu halde idare mahkemelerinin yetkili kılınmasının yerinde olduğunu belirtmek isteriz. Ancak 8. Yargı paketi değişikliği ile geçici 3. Madde ihdas edilerek 1/6/2024 tarihi itibarıyla Sulh Ceza Hâkimliklerinde görülmekte olan başvuruların, bu hâkimliklerde görülmeye devam edeceği belirtilmiştir. Yani 1/6/2024 tarihi itibarıyla sulh ceza hakimlikleri önünde bulunan dosyalar, bu hâkimliklerce karara bağlanacaktır.

Nihai olarak yapılan değişiklikler ile birlikte GDPR (Avrupa Birliği Genel Veri Koruma Tüzüğü) ile paralelliğin yakalanması ve uygulamada sıklıkla karşılaşılan sorunlara çözüm bulunması amaçlanmıştır. 12.04.2022 tarihli ve “KVKK Tarafından Verilen İdari Para Cezaları ve Öngörülebilirliği[1]başlıklı yazımızda detaylarına yer verdiğimiz üzere, sulh ceza hakimliklerine iptal veya red kararlarına itiraz yoluyla yapılan başvurularda yapılan incelemeler yeterli gerekçeleri barındırmadığından ve ihlalin önlenmesi yolunda gereken güvenceleri sağlamadığından idari yargı yolu düzenlemesi kanaatimizce yerinde bir düzenlemedir. Ek olarak, Kanunda belirtilen kabahatlere uygulanacak idari para cezalarının makas aralığının geniş tutulması ile nihai olarak caydırıcılık hedeflense de, olası ihlallerin önlenmesi için Kişisel Verileri Koruma Kurulu tarafından idari para cezaları belirlenirken hangi faktörlerin etkili olacağı ayrıca düzenlenmelidir. Ancak Kanun değişikliğinde buna ilişkin herhangi bir düzenlemenin bulunmadığını, bu halde Kanun’da hala önemli eksikliklerin bulunduğunu ve öngörülemez niteliğinin devam ettiğini ifade etmek isteriz.

Kabahatler

MADDE 18-

 (1) Bu Kanunun;

 a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

 

 

 

 

 Kabahatler

MADDE 18-

(1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

 

(2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

 

 (3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.

 

(4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

 

 

GEÇİCİ MADDE 3-

(2) 1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam olunur.