Kamuoyunda 8. Yargı Paketi olarak bilinen ve 16 Şubat 2024 tarihinde Adalet Komisyonu’na iletilen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi, 21 Şubat 2024 itibariyle mecliste kabul edilmiştir. Bugün itibari ile henüz Resmi Gazetede yayımlanmamış olan 8. Yargı Paketi kapsamında  6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un  Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) tam olarak uyumlu hale getirilmesi amacı gerçekleştirilmiş önemli değişiklikler yer almaktadır.

Yeni Düzenleme Kapsamında Değişiklik Gerçekleştirilen Konular:

Önemli değişiklikler içeren tasarı kapsamında öne çıkan başlıklar; özel nitelikli kişisel verilerin işlenmesi, kişisel verilerin yurtdışına aktarılması ve kabahatler ile ilgili hükümlerden oluşmaktadır.

1. Özel Nitelikli Kişisel Verilerin İşlenmesi (Madde 6):

Mevcut KVKK’nın 6. maddesinin 2. fıkrası değiştirilerek, özel nitelikli kişisel veri işleme sistematiği değiştirilmiş ve özel nitelikli kişisel verilerin işlenmesi yasaklanmıştır. Ancak, özel nitelikli kişisel verilerin işlenebileceği istisnai bazı durumlar öngörülmüştür. Bu yasağın istisnaları KVKK’nın yeni 2’nci fıkrasında düzenlenmiştir. Kabul edilen Yargı Paketi kapsamında, özel nitelikli kişisel veri işleme istisnaları aşağıdaki gibidir:

  • İlgili kişinin veri işlemeye açık rızasının olması,
  • Veri işlemenin Kanunlarda açıkça öngörülmesi,
  • Rızasını açıklayamayacak durumda bulunan kimsenin kendisinin ya da başkasının hayatı veya beden bütünlüğü için veri işlemenin zorunlu olması;
  • İşlenecek verinin ilgili kişinin alenileştirdiği kişisel verilere ilişkin olması ve alenileştirme iradesine uygunluk bulunması;
  • Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması;
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbı teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla veri işlemenin gerekli olması,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanların hukuki yükümlülüklerinin yerine getirilmesi için veri işlemenin zorunlu olması,
  • Veri işlemenin siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Mevcut KVKK’nın 6. maddesinin 3. Fıkrası ise yürürlükten kaldırmış, böylece sağlık ve cinsel hayata ilişkin kişisel veriler ile diğer özel nitelikli kişisel veriler arasındaki ayrım ortadan kalkmıştır. KVKK kapsamında tüm özel nitelikli kişisel verilerin işlenmesi aynı kişisel veri işleme şartlarına tabi tutulmuştur.

2. Kişisel Verilerin Yurtdışına Aktarımı (Madde 9):

Mevcut madde kapsamında kişisel verinin aktarılacağı ülkede yeterli korumanın bulunması aktarım için bir ön koşul olmakla birlikte, aktarım yapılacak ülkede yeterli korumanın bulunmaması halinde Kişisel Verileri Koruma Kurulu’nun onayladığı bir yazılı taahhüdün bulunması halinde veri aktarımı gerçekleştirilebilmektedir. Böyle bir yazılı taahhütnamenin bulunmaması halinde, kişinin açık rızasına dayanarak veri aktarımı yapılabilmektedir.

Değişiklik ile birlikte yurtdışına veri aktarımı yapılabilmesi için aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması ön koşul haline getirilmiştir. Böyle bir kararın bulunmaması halinde ise yurt dışına veri aktarılması için tarafların uygun güvencelerden birini (taahhütname, bağlayıcı şirket kuralları (BCR), standart sözleşme hükümleri (SCC), uluslararası sözleşme niteliğinde olmayan sözleşmeler (yurt dışı ve Türkiye’deki kamu kurum, kuruluş, meslek kuruluşları ve uluslararası kuruluşlar arasında imzalanacak olan) sağlaması gerekliliği öngörülmüştür. Aksi halde, süreklilik arz eden yurt dışına veri aktarımları gerçekleştirilemeyecektir.

Bahsi geçen yeterlilik kararının veya güvencelerin bulunmaması halinde ise, yalnızca arızi yani tek/birkaç sefere mahsus olmak kaydı ile kişisel veri aktarımı yapılması mümkün olacaktır. Ancak bu arızi hallerin de Değişiklik kapsamında belirlendiğini ve sınırlı tutulduğunu belirtmek gerekir.

3. Kabahatler (Madde 18):

Değişiklik ile KVKK m. 18’e yeni bir bent eklenmiş ve KVKK m. 9’da sayılan bildirim yükümlülüğünün yerine getirilmemesi halinde de idari para cezası uygulanacağına dair düzenleme getirilmiştir.

Düzenlemeye göre, yurt dışına veri aktarımında kullanılacak standart sözleşmeler ve hükümleri, 5 iş günü içinde Kurul’a bildirilmelidir. Bildirimde bulunmayanlar (hem veri sorumlusu hem veri işleyen bakımından) hakkında 50.000 TL – 1.000.000 TL arasında idari para cezası öngörüleceği ifade edilmiştir.

Ayrıca yapılan değişiklik ile birlikte, Kurul tarafından verilen idari para cezalarına karşı idare mahkemeleri görevli kılınmaktadır.

4. Eklenen Madde (Geçici Madde 3):

Her ne kadar, 8.Yargı Paketi kapsamında KVKK m. 18’de Kişisel Verileri Koruma Kurulu kararlarına itiraz için İdare Mahkemeleri yetkili mahkeme olarak belirlenmişse de 1 Haziran 2024 tarihinde halen Sulh Ceza Hakimliğinde görülmekte olan dosyalar bakımından dosyaların işbu hakimliklerde görülmeye devam etmesi öngörülmüştür.

 

Geçici Madde 3- (1) 9’uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulamaya devam olunur.(2) 1/6/2024 tarihi itibarıyla sulh ceza hakimliklerinde görülmekte olan başvurular, bu hakimliklerce görülmeye devam olunur.