8. Yargı Reform Paketi ve Kişisel Verilerin Korunması Kanunu'nda Yapılan Değişiklikler
12.03.2024 tarihli ve 32487 sayılı Resmî Gazete'de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda da birtakım değişiklikler yapılmıştır. Bu değişikliklerin amacı, KVKK'yı Avrupa Birliği Genel Veri Koruma Tüzüğü ("GDPR") ile daha uyumlu hâle getirmektir. Bu adım, uluslararası düzeyde veri koruma standartlarının benimsenmesi ve kişisel verilerin korunmasına yönelik mevcut mevzuatın güçlendirilmesi açısından kritik bir öneme sahiptir.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Yeni yargı paketi ile özel nitelikli kişisel verilerin işlenmesi için öncelikle sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli veriler arasındaki ayrım kaldırılmıştır. Bu verilerin işlenmesi için yeni düzenlemeler getirilmiştir. Teklifte belirtilen durumlar şunlardır:
- İlgili kişinin açık rızası olması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızası açıklanamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanında hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veya bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
Yurt Dışına Kişisel Veri Aktarımı
Mevcut düzenleme kapsamında kişisel verilerin yurt dışına aktarımı, KVKK'nın 5. ve 6. maddelerinde belirtilen şartların sağlanması ve verilerin aktarılacağı ülkeye ilişkin "yeterlilik" kararının bulunması hâlinde mümkündür. Yeterlilik kararları KVKK Kurumu tarafından verilecektir. Yeterlilik kararının bulunmaması hâlinde ise veri sorumlularının açık rızası veya yeterli koruma taahhüdü ve Kurul onayı gerekmektedir. Yeni düzenleme ile KVKK'nın 9. maddesi kapsamında kişisel verilerin yurt dışına aktarımına ilişkin kademeli bir düzenleme getirilmiştir:
- Uluslararası Anlaşmalar: Kamu kurumları veya uluslararası kuruluşlar arasında yapılan anlaşmalar çerçevesinde ve KVKK tarafından izin verilen aktarımlar.
- Bağlayıcı Şirket Kuralları: Ortak ekonomik faaliyet gösteren şirketler arasında, KVKK tarafından onaylanan kişisel verilerin korunmasına yönelik kurallar.
- Standart Sözleşme Şartları: KVKK tarafından belirlenen standart sözleşme metinlerine uygun olarak yapılan aktarımlar.
- Yazılı Taahhütler: Yeterli korumayı sağlayan yazılı taahhütlerin varlığı ve KVKK tarafından bu aktarıma izin verilmesi.
Ancak yeterliliğin sağlanamadığı ve dördüncü maddede belirtilen şartların oluşmadığı durumlarda da kişisel veriler belirli şartlar altında yurt dışına aktarılabilecektir:
- Veri Sahibinin Rızası: İlgili kişinin riskler hakkında bilgilendirilmesi ve açık rıza vermesi.
- Sözleşmenin İfası İçin Gerekli Olması: Aktarımın bir sözleşmenin veya sözleşme öncesi tedbirlerin ifası için gerekli olması.
- Kamu Yararı: Aktarımın kamu yararı için gerekli olması.
- KVKK Madde 5/2-b ve c'de Belirtilen Şartlar: Aktarımın bu maddelerde belirtilen şartları taşıması.
İdari Para Cezaları ve Yargısal Başvuru
Yeni düzenleme ile KVKK idari para cezalarına karşı idare mahkemelerinde itiraz edilebilir hâle getirilmiştir. 8. Yargı Paketi ile KVKK'nın 18. maddesi kapsamında alınan kararlara karşı idare mahkemeleri yetkili kılınmıştır.
Kabahatler
Kabahatlere ilişkin 9.maddenin önceki hâli ve değişiklerle birlikte son hâli aşağıdaki gibidir:
Kabahatler | Kabahatler |
---|---|
MADDE 18- (1) Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurul’un yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. |
MADDE 18- (1) Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, d) 9’uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir. (4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurul’un yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. |
Konu ile ilgili Resmî Gazete'ye buradan ulaşabilirsiniz.
Ek bilgiye ihtiyaç duymanız hâlinde lütfen müşteri temsilciniz ile irtibata geçiniz.
-
-
Bilgilendirme Metni!