7499 sayılı Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda ("Kanun") (i) özel nitelikli verilerin işlenme koşulları ve (ii) kişisel verilerin yurtdışına aktarım koşullarına yönelik önemli değişiklikler yapılmıştır.

Bahse konu değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecek olup; detayları aşağıdadır.

  1. Özel Nitelikli Kişisel Veriler:

Mevcut durumda, çok sınırlı istisnalar hariç, özel nitelikli kişisel veriler1 açık rıza olmaksızın işlenemiyor.

Yapılan değişiklik ile, özel nitelikli verilerin işlenmesinin istisnalarına birçok ekleme yapılmış ve bu kapsamda özel nitelikli kişisel verilerin işlenebilme koşulları epeyce genişletilmiştir.

Yapılan değişiklik ile aşağıdaki hallerde özel nitelikli veriler işlenebilecektir:

  • İlgili kişinin açık rızasının olması,
  • Kanunlarda açıkça öngörülmesi,
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  • Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  • İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
  • Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
  1. Yurt Dışına Aktarım:

Mevcut durumda, kişisel verilerin yurtdışına aktarılabilmesi için, veri sahibinin açık rızasının alınması veya Kişisel Verileri Koruma Kurulu'ndan ("Kurul") genel bir izin alınması gereklidir (zira üçüncü alternatif olan, güvenli ülkelere aktarım seçeneği, Kurul tarafından güvenli ülkelerin açıklanmaması nedeniyle işletilememekte).

Veri sahibinin açık rızasının alınması her zaman mümkün olmayabildiğinden ve şimdiye kadar (son 8 yılda) Kurul yurt dışına aktarım için az sayıda şirkete izin vermiş olduğundan, kişisel verilerin yurtdışına aktarımı, özellikle global şirketler açısından oldukça problematik bir süreçti.

Yapılan değişiklikler ile, kişisel verilerin yurt dışına aktarılabilmesi için çok daha fazla seçenek eklenmiş ancak ilgili kişinin açık rızası ile aktarım (geçici olması şartıyla) sınırlandırılmış olup; mevcutta yer alan açık rıza ile yurtdışına aktarılması hükmü 01 Eylül 2024'e kadar yürürlükte kalacaktır (bir başka deyişle yukarıdaki rızaya ilişkin sınırlama 01 Eylül 2024'ten sonra geçerli olacaktır).

Bunlara ek olarak, aşağıdakilere ilişkin usul ve esasların yönetmelikle düzenleneceği belirtilmiştir; bahse konu yönetmelik ile aşağıdaki opsiyonlar daha da netlik kazanacaktır (zira şu anda net olmayan birçok husus bulunmaktadır). Net olmayan hususların bu değişiklilerin yürürlüğe gireceği tarih olan 1 Haziran 2024'e kadar netleştirileceğini umut ediyoruz.

Opsiyonlara ilişkin detaylı bilgi aşağıdadır:

a. Kurulun Yeterlilik Kararı ile Aktarım:

Kişisel verilerin Kurul tarafından yeterli görülen (ve ilan edilen) ülkelere/sektörlere (veri sahibinin veya Kurul'un ayrıca iznine gerek olmaksızın), veri işleme şartlarının varlığı halinde aktarılabileceği düzenlenmektedir.

Düzenlemede Kurul tarafından yeterlilik kararının alınırken nelere dikkat edileceği ve kararların ilan yöntemi ve zamanına ilişkin hükümler de mevcuttur. Ancak bu kararın ne zaman verileceğine dair bir bilgi bulunmuyor; bu karar verilene kadar bu opsiyon kullanılamayacaktır.

b. Güvence ile Aktarım:

Eğer yukarıdaki yeterlilik kararı kapsamına giren bir aktarım olmayacaksa, (yine veri işleme şartlarının varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve kanun yollarına başvurma imkanının bulunması kaydıyla) aşağıda belirtilen güvencelerden birinin sağlanması halinde kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılabileceği belirtilmektedir.

  • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının2 varlığı,
  • Kurul tarafından ilan edilecek standart sözleşmenin varlığı3,
  • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı4 ve Kurul tarafından aktarıma izin verilmesi,
  • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

c. Geçici Aktarım Opsiyonları:

Yukarıdaki opsiyonlar kapsamına girilemiyorsa, geçici olmak kaydıyla5, aşağıdaki hallerden birinin varlığı halinde kişisel verilerin yurt dışına aktarılabileceği belirtilmektedir:

  • Muhtemel riskler hakkında bilgilendirilmesi kaydıyla, ilgili kişinin açık rızası,
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
  • Aktarımın üstün bir kamu yararı için zorunlu olması,
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Son olarak, veri sorumlusu ve veri işleyenler tarafından kişisel veriler yurt dışına ilk kez aktarıldıktan sonraki aktarımlar için de yukarıdaki hükümler uygulanacaktır.

Footnotes

1 Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

2 Kurul'un daha önce https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim adresinde yayınladığı bağlayıcı şirket kurallarının geçerli olup olmayacağı net değildir. Muhtemelen Kurul yeni bilgiler/dokümanlar hazırlayacaktır.

3 Bu sözleşme 5 iş günü içerisinde Kurul'a iletilmelidir; iletilmemesi halinde veri işleyen ve veri sorumlusu hakkında idari para cezası öngörülmüştür.

4 Kurul'un daha önce https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim adresinde yayınladığı taahhütname taslaklarının geçerli olup olmayacağı net değildir. Muhtemelen Kurul yeni bilgi ve taslaklar hazırlayacaktır.

5 Diğer bir ifadeyle tek veya birkaç sefer ve süreklilik taşımayacak şekilde anlamına gelmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.