12 Mart 2024 tarihli ve 32487 sayılı Resmi Gazete’de yayımlanan 7499 Sayılı Ceza Muhakemesi Kanunu İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Kanun”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yurt dışına veri aktarımında Kişisel Verileri Koruma Kurulu’nun (“Kurul”) yeterlilik kararının bulunmasına ve özel nitelikli kişisel verilerin işlenmesindeki şartlara ilişkin olanlar başta olmak üzere önemli düzenlemeler getirilmiştir.
Düzenlemelerin önemli satır başlıkları aşağıdaki gibidir:
- Kanun ile KVKK’nın “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6. maddesinde yapılan değişiklik ile özel nitelikli kişisel verilerin işlenme şartları genişletilmiştir. İlgili kişinin açık rızası varsa, kanunlarda böyle bir işlemi açıkça öngörüyorsa, kişinin hayatı veya beden bütünlüğü için zaruriyse, alenileştirilmiş veriler söz konusuysa veya alenileştirme iradesi mevcutsa, hakların tesis edilmesi veya korunması için zorunluysa, kamu sağlığı veya sosyal güvenlik alanlarındaki hukuki yükümlülükler açısından gerekliyse, kar amacı gütmeyen kuruluşlar, yasalara uygun olarak faaliyet gösteriyorsa faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla özel nitelikli kişisel veriler işlenebilecektir.
- Kanun ile KVKK’nın “Kişisel verilerin yurt dışına aktarılması” başlıklı 9. maddesinde yapılan değişiklik ile yurt dışına kişisel veri aktarımında, önceden açık rıza ilkesi kaldırılmıştır.
- Yapılan değişiklik ile, veri sorumluları ve veri işleyenler tarafından gerçekleştirilecek tüm aktarımlar için yeni şartlar getirilmiştir.
- Veri sorumluları ve veri işleyenler, öncelikle genel kurallara uygun olarak kişisel verilerin yurt dışına aktarmalıdır, bu mümkün olmadığında ise arızi olarak veri aktarımı yapılması gerektiği düzenlenmiştir.
- Ayrıca, yeni düzenleme ile yabancı ülkeler hakkında ve ülkeler içerisindeki sektörler veya uluslararası kuruluşlar bakımından yeterlilik kararı verilmesi imkânı getirilmiştir.
- Yeterlilik kararı verilirken, şu hususlar dikkate alınmaktadır: kişisel verilerin aktarılacak olduğu ülke ile Türkiye arasındaki karşılıklılık durumu, aktarılacak ülkenin mevzuatı ve uygulaması ile uluslararası kuruluşun kuralları, aktarılacak ülke veya uluslararası kuruluşta bağımsız ve etkin bir veri koruma kurumunun varlığı ve idari ve adli başvuru yollarının bulunması, aktarılacak ülkenin veya uluslararası kuruluşun uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olup olmaması, aktarılacak ülkenin veya uluslararası kuruluşun Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olup olmaması, ve Türkiye’nin taraf olduğu uluslararası sözleşmeler.
- Yurt dışına veri aktarımında, Kurul’un yeterlilik kararı bulunması veya ilgili kişinin haklarını kullanabileceği etkili yasal yolların bulunduğu durumlarda, belirtilen şartlardan birinin sağlanması gerekmektedir, şöyle ki: Kurul tarafından aktarıma izin verilmiş uluslararası sözleşme niteliğinde anlaşmanın varlığı, Kurul tarafından onaylanmış bağlayıcı şirket kurallarının bulunması, Kurul tarafından ilan edilen standart sözleşmenin akdedildiğine dair bildirim şartının sağlanması ve bildirim yapılmaması halinde idari para cezası uygulanması, yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütname olması ve Kurul tarafından aktarıma izin verilmesi gerekmektedir.
- Sözleşmenin Kişisel Verileri Koruma Kurumu’na bildirilmemesi hâlinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu ve veri işleyenler hakkında 50.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası uygulanacağı düzenlenmiştir.
- Dolayısıyla, mevcut düzenlemede kişisel verilerin yurt dışına aktarımının temel sorumlusu veri sorumlusu olarak düzenlenirken, yeni düzenleme ile veri işleyenlere de doğrudan sorumluluk getirilmiştir.
- Buna ek olarak, mevcut düzenlemede uygulanan idari para cezalarına karşı sulh ceza hakimlerine başvuru yapılmaktadır, yeni düzenleme ile bundan böyle idari para cezalarına karşı idare mahkemelerinde dava açılacaktır.
- Yeterlilik kararının bulunmaması ve yeterli önlemlerden herhangi birinin sağlanamaması halinde, arızi olmak şartı ile kişisel verilerin yurt dışına aktarımı mümkün hale getirilmiştir. İlgili kişi muhtemel riskler hakkında bilgilendirilerek açık rıza verirse, veri sorumlusu ile ilgili kişi arasında bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan önlemlerin uygulanması için veri aktarımı gerekiyorsa, ilgili kişi yararına bir sözleşmenin kurulması veya ifası için aktarım zorunlu ise, üstün bir kamu yararı söz konusu ise, bir hakkın tesis edilmesi, kullanılması veya korunması için aktarım gerekiyorsa, kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılması zorunlu ise, kamuya veya meşru menfaati olan kişilere açık olan bir sicilden bilgi talep edilirse yurt dışına kişisel veri aktarımı mümkün hale getirilmiştir.
- Kişisel verilerin yurt dışına aktarılmasından sonra yapılan aktarımlar için KVKK’daki güvenceleri sağlama ve yeni düzenleme ile getirilen yurt dışına aktarım şartlarına uyma zorunluluğu getirilmiştir.
- KVKK’da yapılan değişiklikler, 1 Haziran 2024 tarihinde yürürlüğe girecektir. Bu çerçevede, Kurul tarafından uygulanan idari para cezalarına ilişkin 1 Haziran 2024 tarihi itibarıyla sulh ceza hakimliklerinde görülen başvurular, bu hakimliklerce sonuçlandırılacaktır.
- Ayrıca, mevcut KVKK düzenlemelerine göre ilgili kişinin genel açık rızası alınarak gerçekleştirilen yurt dışına aktarımlar, 1 Eylül 2024 tarihine kadar devam edebilecektir. Ancak, 1 Eylül 2024 tarihinden itibaren kişisel verilerin yurt dışına aktarımı, yeni düzenlemede belirtilen esaslara uygun olarak gerçekleştirilmelidir.
Kanun’un tam metnine bu bağlantıdan ulaşabilirsiniz.