İLETİŞİM
.png){kind=logo}
İLETİŞİM
DESTEK
Mail Güvenliği 
Veri Merkezi 
Bilgi ve İletişim Güvenliği Rehberi (BİGR) Danışmanlığı Hizmeti
UTM 
DİĞER 
KVKK Değişiklik Teklifi ve Adalet Komisyonu Raporu
16 Şubat 2024’te Adalet Komisyonu’na iletilen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (Kanun Teklifi), Adalet Komisyonu’nda kabul edildi.
6698 sayılı KVK Kanununda yurt dışına kişisel veri aktarımı ve özel nitelikli kişisel verilerin işlenme şartlarına dair önemli değişiklikleri içeriyor. Ayrıca teklifte idari yaptırımlar ve idari yaptırımlara karşı yapılacak başvurular bakımından önemli değişiklikler de bulunuyor.
6698 sayılı Kişisel Verilerin Korunması Kanununun hazırlık sürecinde 95/46/AT sayılı Kişisel Verilerin İşlenmesi Bakımından Bireylerin Korunması ve Bu Tür Verilerin Serbest Dolaşımı Hakkında Avrupa Parlamentosu ve Konsey Direktifi göz önünde bulundurulmuştur.
Kanunun 2016’da yürürlüğe girmesinden iki yıl sonra bu Direktif yürürlükten kaldırılmış ve daha ayrıntılı düzenlemeler içeren Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation-GDPR) 2018 yılında yürürlüğe konulmuştur. Genel Veri Koruma Tüzüğünün yürürlüğe girmesinden sonra çeşitli eylem planlarında KVKK’nın, Tüzük göz önünde bulundurularak güncellenmesi hedefine yer verilmiştir.
2021 yılında açıklanan İnsan Hakları Eylem Planında, Ekonomi Reformları Eylem Planında ve 2024-2026 Orta Vadeli Programda bulunan GDPR'a uyum sağlanması hedefleri kapsamında Teklifle öncelikle ihtiyaç duyulan özel nitelikli kişisel verilerin işlenme şartları ile yurt dışına veri aktarımına ilişkin hükümlerde değişiklik yapılmaktadır.
KVK Kanununun mevcut 6. maddesine göre sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenebilmesi, sadece ilgili kişinin açık rızasının bulunması veya kanunlarda öngörülmesi halinde mümkündür.
Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise açık rızanın dışında sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanı, yönetimi ve planlanması amacıyla işlenebilmektedir. Buna göre mevcut düzenleme uyarınca sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilmektedir. Ancak başta sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında sağlık verisine ihtiyaç bulunmaktadır.
Değişiklikle, özel nitelikli kişisel verilerin işlenme şartları, güncel ihtiyaçlar ve Avrupa Birliği Genel Veri Koruma Tüzüğü dikkate alınarak yeniden düzenlenmektedir.
Özel nitelikli kişisel verilerin işlenme şartları ile ilgili maddenin ikinci fıkrasında bulunan özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm korunmakta ve özel nitelikli kişisel verilerin işlenebileceği haller sınırlandırılmış olarak sayılmaktadır. Sayılan hallerden birinin varlığı halinde özel nitelikli kişisel verilerin işlenmesi mümkün olacaktır.
Detaylar “Adalet Komisyonunun Kabul Ettiği Metin – Özel Nitelikli Kişisel Veriler” başlığı altında bulunmaktadır.
KVK Kanununun 9. maddesinde kişisel verilerin ilgili kişinin açık rızasıyla yurt dışına aktarılabileceği yer almaktadır. Maddenin mevcut ikinci fıkrasına göre, ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılabilmesi için Kanunun 5. maddesinin ikinci fıkrası ile 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin bulunması ve Kurul tarafından kişisel verilerin aktarılacağı ülke bakımından yeterli korumanın bulunduğuna karar verilmiş olması (yeterlilik kararı) gerekmektedir.
Bununla birlikte hakkında yeterli korumayı sağladığı yönünde karar bulunmayan ülkelere, ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılması, veri işleme şartlarından birinin bulunması şartıyla sadece Türkiye'deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izin vermesi durumunda mümkündür.
Kanunun uygulamasına bakıldığında ülkemizden yabancı ülkelere kişisel veri aktarılması, ilgili kişilerin tek tek açık rızasının alınması dışında sadece Türkiye'deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izin vermesiyle yapılabilmektedir.
Şu ana kadar Kurula sekseni aşkın taahhütname başvurusu yapılmış olup, bunlardan çok azına izin verilmiştir. Bu nedenle yurt dışına veri aktarılması uygulamada sadece ilgili kişilerin açık rızalarının alınmasına bağlı hale gelmiştir.
Bu durum, ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği gibi ülkemize yapılacak yatırımları da engelleyici bir hal almıştır.
Avrupa Birliği, 2018 yılında yürürlüğe koyduğu Genel Veri Koruma Tüzüğüyle her geçen gün gelişen teknoloji ve dijitalleşme ile ticari hayatın dinamikliğinin doğurduğu ihtiyaçları dikkate alarak, ilgili kişilerin haklarını da koruyacak şekilde Avrupa Birliği dışına veri aktarılması bakımından yeni yöntemler öngörmüştür. Kanunun 9. maddesi Tüzüğün ilgili hükümleri esas alınarak değiştirilmektedir.
Detaylar “Adalet Komisyonunun Kabul Ettiği Metin – Yurt Dışına Veri Aktarımı” başlığı altında bulunmaktadır.
KVK Kanununun 18. maddesinde, Teklifle değiştirilen 9. Maddeye göre veri sorumluları veya veri işleyenler, imzalanan standart sözleşmeyi Kuruma bildirmekle yükümlüdür. Bu bildirim yükümlülüğünün yerine getirilmemesi idari yaptırıma bağlanmaktadır.
Maddenin ikinci fıkrasında yapılan değişiklikle, birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında, (d) bendinde öngörülen idari para cezası ise veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır.
Veri işleyenlere standart sözleşmenin bildirilmesi bakımından ilk kez sorumluluk yüklenmiş olması sebebiyle, fıkranın (d) bendindeki yaptırımın veri sorumlusunun yanı sıra veri işleyene de tatbik edilmesi hükme bağlanmaktadır.
Ayrıca, Kurulca verilen idari yaptırım kararlarının mahiyeti dikkate alınarak, bu kararlara karşı sulh ceza hâkimliğine başvuru yerine idare mahkemelerine dava açılması imkânı tanınmaktadır.
Detaylar “Adalet Komisyonunun Kabul Ettiği Metin – Kabahatler” başlığı altında bulunmaktadır.
KVK Kanununa eklenen geçici maddenin birinci fıkrasıyla, 9 uncu maddede yapılan değişikliklerin yürürlüğe girmesinden sonra yaşanabilecek aksaklıklar dikkate alınarak, maddenin birinci fıkrasının değişiklikten önceki hükümlerinin maddede yapılan değişiklikle beraber üç ay daha uygulanması öngörülmektedir.
Böylelikle Kanun değişikliğinin yürürlüğe girmesinden önce alınmış veya sonra alınacak açık rızaya dayalı olarak Kanun değişikliğinin yürürlüğe girmesinden itibaren üç ay daha yurt dışına veri aktarılmasına imkân tanınmaktadır.
Teklifle, Kurulca verilen idari para cezalarına karşı sulh ceza hâkimliklerine başvuru ve itiraz yerine idare mahkemelerinde dava açılması öngörüldüğünden, maddenin ikinci fıkrasıyla bu hükme ilişkin geçiş düzenlemesi yapılmaktadır.
Buna göre, 1/6/2024 tarihi itibarıyla sulh ceza hâkimlikleri önünde bulunan dosyalar, bu hâkimliklerce nihai karara bağlanacaktır.
Detaylar “Adalet Komisyonunun Kabul Ettiği Metin – Geçici Madde 3” başlığı altında bulunmaktadır.
Adalet Komisyonunun Kabul Ettiği Metin – Özel Nitelikli Kişisel Veriler
24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 6ncı maddesinin ikinci fıkrası yürürlükten kaldırılmış ve üçüncü fıkrası aşağıdaki şekilde değiştirilmiştir.
“(3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.”
Adalet Komisyonunun Kabul Ettiği Metin – Yurt Dışına Veri Aktarımı
6698 sayılı Kanunun 9 uncu maddesi aşağıdaki şekilde değiştirilmiştir.
“MADDE 9
(1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.
(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:
a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.
(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.
(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.
(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.
(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.”
Adalet Komisyonunun Kabul Ettiği Metin – Kabahatler
6698 sayılı Kanunun 18 inci maddesinin birinci fıkrasına aşağıdaki bent eklenmiş, ikinci fıkrası aşağıdaki şekilde değiştirilmiş, maddeye ikinci fıkrasından sonra gelmek üzere aşağıdaki fıkra eklenmiş ve diğer fıkra buna göre teselsül ettirilmiştir.
“d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar,” “(2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.” “(3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.”
Adalet Komisyonunun Kabul Ettiği Metin – Geçici Madde 3
6698 sayılı Kanuna aşağıdaki geçici madde eklenmiştir.
“GEÇİCİ MADDE 3- (1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur. (2) 1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam olunur.”
Kaynak