YENİLİKLER
Kamuoyunda 8. Yargı Paketi olarak bilinen 7499 sayılı Ceza Muhakemesi ve Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, Cumhurbaşkanı’nın onayı ile 12 Mart 2023 tarihinde Resmî Gazetede yayımlandı. Bu Kanun’ da en çok dikkat çeken değişikliklerden bazıları, 6698 sayılı Kişisel Verileri Koruma Kanununa yönelik olanlardır. 01.06.2024 tarihinde yürürlüğe girecek 6698 sayılı Kanunda yapılan kapsamlı değişiklikleri bu yazımızda ele alacağız.
Kişisel Veri; gerçek kişinin sadece adı, soyadı, doğum tarihi değil o kişiye ait özel bilgileri de kapsayan geniş bir kavramdır. Nitekim 6698 sayılı Kişisel Verileri Koruma Kanununun 3.maddesinde; “d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,” denilmek suretiyle kişisel verinin tanımı yapılmıştır. Böylece gerçek kişiyi tanımlayan onu belirlenebilir hale getiren her türlü somut içeriğin Kişisel Veri olduğu kabul edilmiştir.
Kişisel verilerin işlenmesi ise; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. Diğer bir ifadeyle kişisel verilerin ilk defa elde edilmesinden başlayarak verileler üzerinden gerçekleştirilen tüm işlemler veri işleme faaliyetleridir.
Özel nitelikli kişisel veriler, kişinin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inanışları, kılık ve kıyafeti, dernek, vakıf veya sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir. Bu verilerin hukuka aykırı işlenmeleri, ilgili kişinin hak ve özgürlüklerine diğerlerine nazaran daha olumsuz yönden etki edebilecek niteliktedir. Her türlü kişisel verinin hukuka aykırı işlenmesi kişilerin hak ve özgürlüklerine olumsuz etki etmekte ise de özel nitelikli kişisel verilerde bu olumsuzluk daha fazla olacaktır. Bu nedenle özel nitelikli kişisel verilerin işlenmesi, diğer verilere göre daha özel şartlara bağlıdır. Bu şartlar, 6698 sayılı Kanun ve bu kanuna göre oluşturulmuş Kişisel Verileri Koruma Kurulu tarafından yayınlanan uygun teknik ve idari tedbirlerde belirtilmiştir.
Ancak gerek özel nitelikli kişisel verilerin işlenmesi ve gerekse de kişisel verilerin yurtdışına aktarılması ile ilgili mevzuatımızdaki yetersizliklerden dolayı birçok sorunlar meydana gelmiştir. Bu sebeple 6698 sayılı Kanunda değişiklik yapılması gerektiğinden, 7499 sayılı Kanun ile 6698 sayılı Kanunun, özel nitelikli kişisel verilerin işlenmesi ve kişisel verilerin yurtdışına aktarılması ile ilgili bir takım değişiklikler yapılarak, önceki sorunların çözümü adına adım atılmıştır.
Kişisel Verileri Koruma Kanununda yapılan değişiklikler Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) hükümleri göz önünde bulundurularak yapılmıştır. Yapılan bu değişiklikler güncel teknolojinin gelişmesi, yeni istihdam alanlarının oluşması ve güncel kamu düzeninin ihtiyaçları doğrultusunda hazırlanmıştır.
Kanun’ da yapılan değişikliklere geçmeden önce veri sorumlusu ve veri işleyen kavramlarının tanımlarını yapmamız gerekmiştir:
Veri sorumlusu Kişisel Verileri Koruma Kanunu’ nun 3/1 maddesi kapsamında kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak ifade edilmiştir. Veri sorumlusu gerçek kişi olabileceği gibi, şirket, dernek, vakıf gibi özel hukuk tüzel kişileri ya da kamu kurum ve kuruluşları da olabilir. Kanun’ un 16/II. maddesi uyarınca veri sorumluları, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.
Veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi veri işleyen olarak ifade edilmektedir. (KVKK m.3/ğ). Veri işleyen bakımından belirleyici olan unsur, veri sorumlusu adına ve onun talimatları çerçevesinde hareket etmesi gerektiğidir. Veri sorumlusu, veri işleyeni yetkilendirirken genel bir yetki devri yapabileceği gibi belirli görevleri kapsayacak bir yetkilendirme de yapabilir.
Kişisel Verileri Koruma Kanunu’ nun 6. maddesinde yapılan değişiklikler ve sonuçları
Özel nitelikli kişisel verilen işlenmesine Kişisel Verileri Koruma Kanununun mevcut 6.maddesinde sağlık ve cinsel hayat dışındaki kişisel verilerin işlenmesi, kişinin açık rızası veya kanunlarda öngörülmesi halinde mümkündür. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise ilgili kişinin açık rızası dışında sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanı, yönetimi ve planlanması amacıyla işlenmektedir. Bu haliyle sağlık ile ilgili veriler sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile diğer sağlık kuruluşları tarafından işlenebilmektedir. Lakin bu durumun birçok ihtiyaca cevap veremediği görülmüştür Zira sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında da sağlık verisine ihtiyaç bulunmaktadır. Yapılan değişiklikte güncel ihtiyaçlar ve Avrupa Birliği Genel Veri Koruma Tüzüğü hükümleri nazara alınarak düzenleme yapılmıştır. Maddenin 2. fıkrasında kişisel verilerin işlenmesine dair metin muhafaza edilmekle birlikte özel nitelikli kişisel verilerin işlenmesi hali tahdidi şekilde sayılmıştır. Herhangi bir durumun varlığı halinde kişisel verilerin işlenmesi mümkün hale gelecektir.
Özel nitelikli kişisel verilerin işlenebilmesine olanak sağlayan birinci durum, ilgili kişinin açık rızasıdır. Açık rızanın bulunması halinde özel nitelikli kişisel veriler işlenebilecektir. Bununla birlikte özellikle istihdam ilişkileri kapsamında açık rıza alınmasına gerek kalmayacağı düşünülmektedir.
Özel nitelikli kişisel verilerin işlenebilmesine olanak sağlayan ikinci durum, kanunlarda açıkça öngörülen hallerde kişinin rızası alınmadan özel nitelikli kişisel verilerin işlenebilmesidir. Örneğin bir işletmede yahut kamu kurumunda çalışan kişilere ait özlük bilgilerinin tutulması kanun gereği zorunludur. Bu durumda çalışanların özlük dosyalarında, özel nitelikli verilerin işlenmesi mümkün hale gelmektedir.
Üçüncü durum, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde özel nitelikli kişisel verilerin işlenmesine imkân tanınmaktadır. Örnek verecek olursak herhangi bir yerde bilincini kaybetmiş birisinin rızası alınamayacağından ötürü hayatının ve beden bütünlüğünün önemi dolayısıyla kan grubu ve kimlik bilgileri işlenebilecektir.
Dördüncü durum, ilgili kişinin özel nitelikli kişisel verilerini alenileştirmesidir. Özel nitelikli verilerin alenileştirme iradesine uygun olarak işlenmesine imkân tanınmaktadır. Böylelikle ilgili kişinin alenileştirme iradesi dikkate alınacaktır. Örneğin; bir kişinin süre gelen bir rahatsızlığından ötürü acil durumlarda kullanılmak üzere herkesin rahatlıkla erişebileceği alanda hastalık bilgilerini belirtmesi durumunda bu amaca uygun şekilde kullanılmak üzere kişisel verinin işlenmesi hukuka uygun olacaktır.
Beşinci durum, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde özel nitelikli kişisel verilerin işlenebilmesidir. Burada daha çok ilgilinin hak arama süreçlerinde özel nitelikli kişisel verilerin işlenmesine olanak sağlanmaktadır. Örneğin; İşçinin işe başladığı zamanda işlenen kişisel verilerden olan T.C kimlik numarasının, ileride onun aleyhine dava açılacağı sırada kullanılması veya iş sözleşmesinin sona ermesinin ardından işverene karşı açılacak davalarda ilgili kişinin geçmiş yıllara ait özlük dosyasının kullanılması mümkün olacaktır.
Altıncı durum, özel nitelikli kişisel verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinin gerekli olmasıdır. Buna göre Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirilecektir.
Yedinci durum, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması durumlarında da özel nitelikli kişisel veriler işlenecektir. Burada işleme şartından daha çok anılan amaçlar doğrultusunda bir yükümlülük getirilmektedir. Veri işleme şartının yerine getirilmesi için yükümlülüğün yerine getirilmesi gerekmektedir. Adalet Komisyonunun paylaştığı taslaktaki örnek bu konuyu daha iyi izah etmektedir. Şöyle ki; “4857 sayılı İş kanunuyla işverenlere verilen engelli veya hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından kişilerin sağlık verilerinin veya ceza mahkumiyetine ilişkin verilerinin işverenlerce işlenmesi bu bent kapsamında değerlendirilecektir.”
Özel nitelikli kişisel verilerin işlenebilmesine olanak sağlayan son durum ise siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesidir. Buna göre bu kuruluş ve oluşumlar, mevcut ve eski üyeleri ile bu kuruluş ve oluşumlarla düzenli olarak temas halinde olan kişilerin özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebilecektir. Artık ilgili oluşumların veri işleme faaliyetlerine özel işleme şartları getirilmiştir.
Kişisel Verileri Koruma Kanunu’ nun 9. maddesinde yapılan değişiklikler ve sonuçları
Kişisel verilerin işlenmesinin yanı sıra yurtdışına aktarılması da 6698 sayılı Kanun kapsamında belli şartlara bağlanmıştır. Değişiklikten önceki uygulamada öncelikle ilgili kişinin açık rızasının varlığı aranmaktaydı. Açık rızanın bulunmadığı hallerde de Kanun’ un 5 ve 6. maddelerindeki veri işleme koşullarının varlığının yanı sıra hem Türkiye’ deki ve hem de verinin aktarılacağı ülkedeki veri sorumlularının yeterli korumayı sağlayacaklarını yazılı olarak taahhüt etmelerine binaen Kurul’ un izninin bulunması gerekmekteydi. Kurul tarafından izin verilmeden önce Türkiye’nin taraf olduğu uluslararası sözleşmeler, kişisel verinin aktarılacağı ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu, kişisel verinin niteliği ile işlenme amaç ve süresini, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması, kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemler değerlendirilmek suretiyle izin verilip verilmeyeceğine karar verilmekteydi. Kurul’un paylaştığı istatistiklerde Kurul’ a yapılan sekseni aşkın başvurudan çok azına izin verilmiştir. Bu sebeplerden dolayı ilgili ülkeler, yazılı taahhüdün uzun sürecinden dolayı bu yola başvurmayı bırakmışlardır. Böylelikle yurtdışına veri aktarımı sadece ilgilinin açık rızasına bağlı duruma gelmiştir. Bu durum hem gerçek kişilerin hem de ticari faaliyetlerde bulunan şirketlerin kullandıkları sunucuları yurtdışında bulunan ve bulut tabanlı yazılım programlarının hukuka uygun şekilde kullanılmasını engellediği gibi ülkemize yapılacak yatırımları da olumsuz yönden etkilemiştir. Bu sebeple yukarıda belirttiğimiz üzere 6698 sayılı Kanun’da yapılan değişiklikler hem uygulamadaki aksaklıkların giderilmesi ve hem de Avrupa Birliği’nin her geçen gün gelişen teknoloji ve dijitalleşme ile ticari hayatın ihtiyaçlarına uygun olması için düzenlediği Genel Veri Koruma Tüzüğü esas alınarak yapılan değişikliklerdir.
Yukarıda belirttiğimiz hususlar gözetilerek kişisel verilerin yurtdışına aktarılması için Kanun’ un 9. maddesinde yapılan değişiklikle, kişisel verinin yurtdışına aktarımı için öncelikle Kanunun 5 ve 6. maddelerine uygun veri işleme şartlarının oluşması gerekmektedir. Bu şartların oluşumundan sonra ise yurtdışına veri aktarımı için yine Kanunda belirtilen hallerden birinin gerçekleşmesi zorunludur. Kanunda belirtilen haller; yeterlilik kararına istinaden aktarım, uygun güvencelere istinaden aktarım ve arızi aktarımlardır.
Yeterlilik kararına dayalı aktarım, Kurul tarafından bir ülke, ülke içindeki sektörlere veya uluslararası kuruluşlar hakkında yeterlilik kararı verilmesinden dolayı yapılabilen aktarımlardır. Kurul tarafından; herhangi bir ülke, ülke içindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı verilip Resmi Gazetede yayımlanması durumda, yeterlilik kararına konu ülke, ülke içindeki sektör veya uluslararası kuruluşa kişisel veri aktarımı yapılabilecektir. Yeterlilik kararı, Kurul’ un ihtiyaç duyması halinde kurum ve kuruluşlardan görüş alınmak suretiyle en geç dört yılda bir değerlendirilecektir. Dört yılda değerlendirilmeyen yeterlilik durumu devam edecektir.
Kurul’ un yeterlilik kararı vermek için öncelikle hangi kriterleri gözeteceği kanun metninde düzenlenmiştir. Yeterlilik kararı verebilmek için bu kriterlerin hepsinin gerçekleşmesi gerekmemektedir. Yeterlilik kararı için belirtilen kriterler tahdidi nitelikte olmayıp gerekli görüldüğünde başka kriterler de esas alınabilecektir. Kanun’da belirtilen kriterler şunlardır:
a- Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b- Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c- Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç- Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d- Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e- Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Kişisel verilerin yurtdışına aktarılması için yeterlilik kararının bulunmaması halinde Kanun’ da öngörülen ikinci sistem ise uygun güvencelere dayalı aktarımdır. Bu yolla yurtdışına veri aktarımı için öncelikle kişisel verilerin aktarılacağı ülkede kişilerin haklarını kullanma ve etkin kanun yolarına başvurma imkanlarının bulunması kaydıyla Kanun’ da belirtilen uygun güvencelerden birinin sağlanması gerekmektedir. Kanun’ da belirtilen uygun güvenceler;
a-Yurtdışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlarla Türkiye’ deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan bir anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi,
b-Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı,
c-Kurul tarafından kabul edilmiş standart sözleşmenin, kişisel veri aktarımının tarafları arasında akdedilmesi,
ç-Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı taahhütnamenin, kişisel veri aktarımının tarafları arasında akdedilmesi ve Kurul tarafından aktarıma izin verilmesi.
Yukarıda yer alan 4 uygun güvenceden a, b ve ç bentlerinde yer alanlarda yurtdışına kişisel veri aktarımına, Kurul tarafından izin/onay verilmesinden sonra başlanabilecektir. Standart sözleşmenin varlığı halinde ise Kanun metninde, Standart sözleşmenin imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından kuruma bildirilmesinin gerekliliği belirtilmiş, ancak aktarıma ne zaman (imza tarihi, Kurul’ a bildirim tarihi gibi) başlanabileceği konusunda bir açıklamaya yer verilmemiştir.
Kişisel verilerin yurtdışına aktarılması için hem yeterlilik kararının bulunmaması ve hem de uygun güvencelerin sağlanamaması halinde Kanun’ da öngörülen üçüncü yol ise arızi aktarımlardır. Bununla yeterlilik kararı bulunmayıp ve uygun güvencelerden birinin bulunmaması durumlarında yaşanacak sıkıntılar açısından bir çözüm yolu öngörülmüştür. Günümüzde dijitalleşmenin etkisiyle sürekli kullanılan kişisel veriler, çoğu zaman hukuka uygun olmayan şekilde işlenebilmektedir. Veri aktarımı da her zaman uygun güvencelere dayanmayabilmektedir. Aşağıda belirtilen durumlardan birinin varlığı halinde arızi olmak kaydıyla tek seferlik, sürekli olmayacak şekilde yurtdışına veri aktarımı yapılabilecektir:
a-Açık Rıza: Yurtdışına veri aktarımının açık rızaya dayandırılması halinde yurtdışına aktarılacak verilerin barındırdığı risk açık bir şekilde belirtilmelidir.
b-İlgili kişi ile akdedilen sözleşme: Veri aktarımı yapılacak kişi mutlak surette sözleşmenin tarafı olmalıdır. Objektif değerlendirme sonucu ilgili kişinin aktarılacak verileri sözleşme kapsamında belirtilen veriler olacaktır. Sözleşmeye taraf olduğu için tüm verilerinin aktarılması bu kapsamda değildir. Bunun yanında veri aktarımı arızi halini koruyacaktır. Sözleşmeye taraf olsa bile ilgili kişinin verileri sürekli bir şekilde yurtdışına aktarılamayacaktır.
c-İlgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak sözleşme: İlgili kişiden farklı olarak bu sözleşme; doğrudan ilgili kişi ile yapılmamakta ancak ilgili kişi sözleşme yapanlardan menfaat elde etmektedir.
ç- Aktarımın üstün bir kamu yararı için zorunlu olması: Önemli kamu yararına dayanılarak kişisel veri aktarımı yapılabilir. Kamu güvenliği, kamu sağlığı bunlara birer örnektir.
d-Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması: İdari, adli, tahkim gibi yargı mahkemelerinde başlayacak yargılama süresince, ilgili kişinin verileri yurtdışına aktarılabilecektir. Lakin bu durumda da objektif bağlantının bulunması gerekmekte olup aksi taktirde kişinin bütün verilerini yurtdışına aktarılması bu kapsamda değerlendirilmemektedir.
e-Fiili imkansızlık durumunda verilerin aktarılmasının zorunlu olması: Fiili imkansızlıktan dolayı beyanla kişinin rızasının alınmasının mümkün olmadığı durumları kapsamaktadır. Bunlar örnek vermek gerekirse ilk başta tahmin edileceği üzere ayırt etme gücünden yoksunluk hali, yaşam hakkı ve bedensel bütünlükle ilgili önemli durumlar ve tıbbi müdahaleler bu kapsamda yer almaktadır.
f- Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden meşru menfaati bulunan kişinin talep etmesi: Kamuya açık bir sicilden elde edilecek kişisel verilerin yurtdışına aktarımı yapılabilmektedir. Kamuya açık kavramı daha çok internet ortamından girilebilen ticaret sicilleri ile ilgisini ispatlamak koşuluyla incelenebilen tapu sicillerini kapsamaktadır.
Kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerinde yukarıdaki (a), (b) ve (c) maddeleri uygulanmayacaktır. Böylelikle kamuyu ilgilendiren faaliyetlerde ilgili kişinin açık rızası alınmayacak, aktarımın kamunun tarafı olduğu ilgilinin talebi üzerine sözleşmelerde tedbirlerin alınması zorunlu olmayacaktır.
Kişisel verilerin yurtdışına aktarılmasından sonraki aktarımlar bakımından da Kanun’daki güvencelerin sağlanacağı madde hükümlerinin uygulanacağı belirtilmiştir. Öyle ki sıralı Veri aktarımlarında her bir veri için güvence her seferinde tekrardan aranacak, bir defaya mahsus verilen güvence ardından gelen aktarımlar açısından aynı güvenceye dayanması geçerli olmayacaktır.
Kişisel verilerin yurtdışına aktarımı ile ilgili usul ve esasların yönetmelikle düzenleneceği belirtilmiş ve hali hazırda yürürlüğe giren bir yönetmelik bulunmamaktadır.
6698 sayılı Kanun’ a eklenen Geçici 3. maddede, yurtdışına veri aktarımına ilişkin değiştirilmeden önceki haliyle 9. maddenin 1. fıkrası hükmünün, 01.06.2024 tarihinden 01.09.2024 tarihine kadar değişiklikle beraber uygulanacağı düzenlenmiştir. 6698 sayılı Kanun’ un değişiklikten önceki 9. maddesinin 1. fıkrasında; “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” düzenlemesi yer almaktadır. Yukarıda açıkladığımız üzere Kanunun 9. maddesinde yapılan değişiklikle, ilgili kişinin açık rızası aranmaksızın yurtdışına veri aktarımına olanak sağlanmaktadır. Ancak Kanundaki değişikliklerin yürürlüğe gireceği 01.06.2024 tarihinden sonra uygulamada oluşabilecek sıkıntılardan dolayı 3 ay boyunca eski metindeki gibi açık rıza ile yurtdışına veri aktarımına olanak sağlanmak istenmiştir.
Kişisel Verileri Koruma Kanunu’ nun 18.maddesinde yapılan değişiklikler ve sonuçları
Kişisel Verileri Koruma Kanunu’ nun 18. maddesi, Kabahatlere ilişkin uygulamalara yer vermektedir. Maddeye yeni eklenen (d) fıkrası ile 9. madde ile getirilen Standart sözleşmenin imzalanmasından itibaren beş iş günü içinde Kurum’a bildirim yükümlüğüne aykırılık halinde veri sorumlusu ve veri işleyen hakkında 50.000 TL- 1.000.000 TL’ye kadar idari yaptırım yapılacağı öngörülmüştür.
Maddenin ikinci fıkrasında yapılan değişiklikle, birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında, (d) bendinde öngörülen idari para cezası ise veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır. Yukarıda bahsettiğimiz ceza türünde sadece 9.maddeye eklenen (d) fıkrasındaki durumlarda veri işleyene ilk defa sorumluluk yüklenmiştir.
Değişiklikten önce idari yaptırım kararlarına karşı sulh ceza hakimliğine başvuru yapılırken yeni düzenlemeyle birlikte idare mahkemelerine dava açılması imkânı getirilmiştir. Kanunda yapılan değişikliklerin yürürlüğe gireceği 01.06.2024 tarihinden önce sulh ceza hakimliklerinde açılan ve derdest olan davalar için görevsizlik kararı verilmeyerek, uyuşmazlığın esası hakkında karar verilecektir.
Av. Muaz Salih YILDIRIM – Stajyer Avukat Yakup Can BAŞ