- KAMU İHALE HUKUKU
- ARABULUCULUK
- KİŞİSEL VERİLERİN KORUNMASI KANUNU DANIŞMANLIĞI
- ŞİRKET SÖZLEŞMELERİ VE AİLE ANAYASASI HAZIRLAMA
- İŞLETME VE ŞİRKET RİSK YÖNETİMİ VE DANIŞMANLIĞI
- FİKRİ VE SINAİ HAKLAR DANIŞMANLIĞI ve DAVALARIN TAKİBİ
- MARKA KOÇLUĞU
- VERGİ HUKUKU
- SÖZLEŞMELER HUKUKU
- TAZMİNAT DAVALARI
- ULUSLARARASI TAHKİM
- ULUSAL TAHKİM
- GİRİŞİMCİLİK HUKUKU (STARTUP HUKUKU)
- ENERJİ HUKUKU
- İCRA VE İFLAS HUKUKU
- MİRAS HUKUKU
- GAYRİMENKUL HUKUKU
- İŞ HUKUKU
- ŞİRKETLER HUKUKU
8. Yargı Paketi Kapsamında Kişisel Verilerin Korunması Kanunu Değişiklikleri
26 Aralık 2024 Perşembe
8.YARGI PAKETİ KAPSAMINDA KİŞİSEL VERİLERİN
KORUNMASI KANUNU DEĞİŞİKLİKLERİ
12.03.2024 tarihli 32487 sayılı Resmi Gazete’de 7499 Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun yayımlanmış ve söz konusu Kanun ile Ceza Muhakemesi Kanunu, İcra İflas Kanunu gibi kanunların yanı sıra ayrıca Kişisel Verilerin Korunması Kanunu’nda da değişiklikler gerçekleştirilmiştir.
Yürülüğe giren kanun ile KVKK nezdinde bazı değişiklikler yapılmış olup bu değişiklikler kapsamında özel nitelikli kişisel verilerin işlnmesine ilişkin kural ve istisnalar tekrar düzenlenmiş, yurtdışına veri aktarımı koşulları tekrar düzenlenmiş ve Kişisel Verileri Koruma Kurulu tarafından verilen kararlara karşı başvurulabilecek hukuki yollara ilişkin değişiklikler yapılmıştır. Yapılmış olan iş bu değişiklikler ile mevcut KVKK’nın Avrupa Birliği Koruma Tüzüğü’ne (GDPR) tam olarak uyumlu hale gelmesi amaçlanmaktadır.
Özel Nitelikli Kişisel Verilere İlişkin Düzenlemeler
Kanun’un 33. maddesi ile KVKK’nın 6. maddesinin ikinci fıkrasında düzenlenen, açık rıza olmaksızın kişisel verilerin işlenemeyeceğine ve özel nitelikli kişisel verilerden sağlık ve cinsel hayat verilerinin işlenmesine ilişkin istisnalar değiştirilmiştir. Maddenin eski hali ile sağlık ve cinsel hayat verilerinin ancak kamu sağlığının korunması için gerekli olması ve tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi gibi istisnalar kapsamında açık rıza olmaksızın işlenebilmektedir. Maddede yapılan değişiklik ile özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebilmesine ilişkin istisnai düzenlemeler değiştirilmiş ve genişletilmiş. Bu kapsamda, özel nitelikli kişisel veriler,
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
durumlarından birinin varlığı halinde, veri sahibinin açık rızası bulunmaksızın da işlenebilecektir.
Kişisel Verilerin Yurtdışına Aktarımına İlişkin Düzenlemeler
Kanun’un 34. maddesiyle KVKK’nın kişisel verilerin yurtdışına aktarımını düzenleyen maddesinde değişiklik gerçekleştirilmiştir. KVKK’nın mevcut hali ile kişisel verinin yurtdışına aktarımı için açık rıza aranmakta iken yapılan değişiklik ile açık rıza bulunmaksızın da belli şartların sağlanması halinde kişisel verilerin yurtdışına aktarılabileceği hususu düzenlenmiştir.
Yapılan değişikliler ile yurtdışına veri aktarımının veri işleyen tarafından yerine getirileceği düzenlenmiş olup bu anlamda standart sözleşmelerin Kurum’a bildirilmesi hususu da veri işleyen veya veri sorumlusu tarafından gerçekleştirilebilecektir. Standart sözleşmelerin imza tarihinden itibaren 5 gün içerisinde Kurum’a bildirilmemesi durumu idari para cezasını gerektiren bir durum olarak düzenlenmiş olup bildirim yükümlülüğünün yerine getirilmemesi halinde 50.00,00 TL’den 1.000.000,00 TL’ye kadar idari para cezası uygulanabilecektir.
İdari Para Cezaları ve İdari Para Cezalarına Karşı Alınabilecek Aksiyonlara İlişkin Düzenlemeler
Kanun’un 35. maddesi ile KVKK’nın idari para cezalarını düzenleyen maddesinde değişiklik yapılmıştır. Daha önce var olan idari para cezalarına ek olarak yukarıda da bahsedildiği üzere standart sözleşmelere ilişkin bildirimin yapılmaması da idari para cezasını gerektirir durumlardan biri olarak düzenlenmiştir.
Ayrıca değişiklikle birlikte, Kurul tarafından verilen idari para cezalarına karşı idare mahkemeleri nezdinde karara karşı itiraz etme imkanı da kanun kapsamında yer almıştır. Bu hususa ek olarak yapılan diğer bir önemli değişiklik, aydınlatma yükümlüğünün yerine getirilmemesi, veri güvenliği hükümlerine aykırı davranılması, Kurul tarafından verilen kararların yerine getirilmemesi ve VERBİS kaydı yükümlülüğünün ihlali durumlarında sadece veri sorumluları aleyhine idari para cezası düzenlenebilirken, standart sözleşmelerin bildirilmemesi halinde hem veri işleyen hem de veri sorumlusu aleyhine idari para cezası düzenlenebileceği öngörülmüştür.
Kanun’un 6'ncı, 9'uncu ve 18'inci maddelerinde yapılan iş bu değişiklikler 12 Mart 2024 tarihli Resmi Gazete'de yayımlanmıştır
