Kişisel Verileri Koruma Kanunu’nda Değişiklikler Öngören Tasarı Meclis’te!

Yaklaşık sekiz seneden beri gündemde olan ve uygulamada grup şirketleri veya bulut bilişim hizmetlerinden yararlanma şekliyle dahi olsa, yurtdışına kişisel veri gönderimi için çoğu şirketi ilave açık rıza almaya mecbur kılan maddelerde değişiklik öngören tasarı Türkiye Büyük Millet Meclisi’ne nihayet sunuldu.

Tasarı, özel nitelikli kişisel verilerin işlenmesi ve yurt dışına aktarım konularında Avrupa Birliği Genel Veri Koruma Tüzüğü (“GVKT”) ile uyumlu olacak öneriler içeriyor. Dikkat çeken hususları sizler için derledik:

• Özel nitelikli kişisel verilerin işlenmesi için açık rızanın yanı sıra, pek çok yeni hukuka uygunluk sebebi belirtilmiştir. Genel olarak veri işlenmesinde dayanılabilecek hukuki sebepler (kanunlarda öngörülmesi, hukuki yükümlülüğün yerine getirilmesi vb.) özel nitelikli veriler için de geçerli kılınmıştır. Ek olarak özel nitelikli kişisel verilerin işlenmesinde aşağıdaki ek hukuki sebepler getirilmekte:
• İstihdam ve iş sağlığı, güvenliği ve benzer konulardaki yükümlülüklerin yerine getirilmesi,
• Dernek, vakıf ve benzeri oluşumların kendi faaliyetleri ile ilgili yükümlülüklerini yerine getirmesi.
• Kişisel verilerin yurt dışına aktarımında köklü değişiklikler yapılmıştır. Esas kural olan “açık rızanın bulunması” yönteminden vazgeçilmiştir. Buna göre, işleme şartlarından birinin bulunması ve yeterlilik kararı olması halinde açık rıza olmaksızın aktarım yapılabilecektir. Yeterlilik kararı yalnızca ülke için değil, bir yabancı ülkedeki uluslararası kuruluş ya da o yabancı ülke içerisindeki sektörler hakkında da verilebilecektir. Yeterlilik kararı için gerekli mütekabiliyet koşulu korunmakla birlikte, ek mekanizmalar getiriliyor.
• Yeterlilik kararının bulunmaması halinde, veri işleme şartlarından birinin varlığı, aktarımın yapılacağı ülkede ilgili kişilerin kanun yollarına başvurma imkanının bulunması kaydıyla ve aşağıdaki güvencelerden birinin sağlanması halinde aktarılabilecek:
• Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı;
• Kurul tarafından ilan edilen standart sözleşmenin varlığı (imzalanmasından itibaren beş iş günü içinde Kuruma bildirilmesi gerekiyor);
• Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. Veri işleyenler de bu koşullarda aktarım yapabilecek.
• Yeterlilik kararının bulunmaması ve yukarıda yer alan güvencelerden herhangi birinin sağlanamaması durumunda da, arızi olmak kaydıyla sadece veri işleme şartlarından (açık rıza, sözleşmenin ifası, hukuki yükümlülüğün yerine getirilmesi vb.) birinin varlığı halinde aktarım yapılabilecek.
• Aktarıma ilişkin usul ve esaslar, düzenlenecek yönetmelikle belirlenecek.
• Standart sözleşmenin süresi içerisinde bildirilmemesi halinde 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanabilecek. Tasarı ilk kez, yalnızca bu yükümlülük bakımından veri işleyene de yaptırım uygulanabileceğini düzenliyor.
• Kurulca verilen idari para cezalarına karşı artık sulh ceza mahkemelerinde değil, idare mahkemelerinde dava açılabilecek.
• Kişisel verilerin açık rıza olmaksızın yurt dışına aktarılamayacağını belirten fıkra, 1 Eylül 2024 tarihine kadar, değişiklik sonrası getirilen imkanlarla birlikte de olsa yürürlükte olmaya devam edecek.
• 1 Haziran 2024 itibariyle sulh ceza hâkimliklerinde görülen dosyalar, yine aynı hakimliklerde görülmeye devam edecek.