To print this article, all you need is to be registered or login on Mondaq.com.
7499 sayılı Kanun ile 6698 sayılı
Kişisel Verilerin Korunması Kanunu’nda
(“Kanun“) (i)
özel nitelikli verilerin işlenme koşulları ve
(ii) kişisel verilerin
yurtdışına aktarım koşullarına
yönelik önemli değişiklikler
yapılmıştır.
Bahse konu değişiklikler 1 Haziran
2024 tarihinde yürürlüğe girecek olup;
detayları aşağıdadır.
- Özel Nitelikli Kişisel Veriler:
Mevcut durumda, çok sınırlı istisnalar
hariç, özel nitelikli kişisel veriler1
açık rıza olmaksızın
işlenemiyor.
Yapılan değişiklik ile, özel nitelikli
verilerin işlenmesinin istisnalarına birçok ekleme
yapılmış ve bu kapsamda özel nitelikli
kişisel verilerin işlenebilme koşulları epeyce
genişletilmiştir.
Yapılan değişiklik ile aşağıdaki
hallerde özel nitelikli veriler işlenebilecektir:
- İlgili kişinin açık
rızasının olması, - Kanunlarda açıkça
öngörülmesi, - İstihdam, iş sağlığı ve
güvenliği, sosyal güvenlik, sosyal hizmetler ve
sosyal yardım alanlarındaki hukuki
yükümlülüklerin yerine getirilmesi için
zorunlu olması, - Fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan
veya rızasına hukuki geçerlilik tanınmayan
kişinin, kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün
korunması için zorunlu olması, - Bir hakkın tesisi, kullanılması veya
korunması için zorunlu olması, - İlgili kişinin alenileştirdiği kişisel
verilere ilişkin ve alenileştirme iradesine uygun
olması, - Sır saklama yükümlülüğü
altında bulunan kişiler veya yetkili kurum ve
kuruluşlarca, kamu sağlığının
korunması, koruyucu hekimlik, tıbbi teşhis, tedavi
ve bakım hizmetlerinin yürütülmesi ile
sağlık hizmetlerinin planlanması, yönetimi ve
finansmanı amacıyla gerekli olması, - Siyasi, felsefi, dini veya sendikal amaçlarla
kurulan vakıf, dernek ve diğer kâr amacı
gütmeyen kuruluş ya da oluşumların, tâbi
oldukları mevzuata ve amaçlarına uygun olmak,
faaliyet alanlarıyla sınırlı olmak ve
üçüncü kişilere açıklanmamak
kaydıyla; mevcut veya eski üyelerine ve mensuplarına
veyahut bu kuruluş ve oluşumlarla düzenli olarak
temasta olan kişilere yönelik olması.
- Yurt Dışına Aktarım:
Mevcut durumda, kişisel verilerin yurtdışına
aktarılabilmesi için, veri sahibinin açık
rızasının alınması veya Kişisel
Verileri Koruma Kurulu’ndan
(“Kurul”) genel bir izin
alınması gereklidir (zira üçüncü
alternatif olan, güvenli ülkelere aktarım
seçeneği, Kurul tarafından güvenli
ülkelerin açıklanmaması nedeniyle
işletilememekte).
Veri sahibinin açık rızasının
alınması her zaman mümkün
olmayabildiğinden ve şimdiye kadar (son 8 yılda)
Kurul yurt dışına aktarım için az
sayıda şirkete izin vermiş olduğundan,
kişisel verilerin yurtdışına
aktarımı, özellikle global şirketler
açısından oldukça problematik bir
süreçti.
Yapılan değişiklikler ile, kişisel
verilerin yurt dışına aktarılabilmesi
için çok daha fazla seçenek eklenmiş
ancak ilgili kişinin açık rızası ile
aktarım (geçici olması şartıyla)
sınırlandırılmış olup;
mevcutta yer alan açık rıza ile
yurtdışına aktarılması hükmü 01
Eylül 2024’e kadar yürürlükte
kalacaktır (bir başka deyişle yukarıdaki
rızaya ilişkin sınırlama 01 Eylül
2024’ten sonra geçerli olacaktır).
Bunlara ek olarak, aşağıdakilere ilişkin
usul ve esasların yönetmelikle düzenleneceği
belirtilmiştir; bahse konu yönetmelik ile
aşağıdaki opsiyonlar daha da netlik
kazanacaktır (zira şu anda net olmayan birçok
husus bulunmaktadır). Net olmayan hususların bu
değişiklilerin yürürlüğe
gireceği tarih olan 1 Haziran 2024’e kadar
netleştirileceğini umut ediyoruz.
Opsiyonlara ilişkin detaylı bilgi
aşağıdadır:
a. Kurulun Yeterlilik Kararı ile
Aktarım:
Kişisel verilerin Kurul tarafından yeterli
görülen (ve ilan edilen) ülkelere/sektörlere
(veri sahibinin veya Kurul’un ayrıca iznine gerek
olmaksızın), veri işleme şartlarının
varlığı halinde aktarılabileceği
düzenlenmektedir.
Düzenlemede Kurul tarafından yeterlilik
kararının alınırken nelere dikkat
edileceği ve kararların ilan yöntemi ve
zamanına ilişkin hükümler de mevcuttur. Ancak
bu kararın ne zaman verileceğine dair bir bilgi
bulunmuyor; bu karar verilene kadar bu opsiyon
kullanılamayacaktır.
b. Güvence ile Aktarım:
Eğer yukarıdaki yeterlilik kararı kapsamına
giren bir aktarım olmayacaksa, (yine veri işleme
şartlarının varlığı, ilgili
kişinin aktarımın yapılacağı
ülkede de haklarını kullanma ve kanun yollarına
başvurma imkanının bulunması
kaydıyla) aşağıda belirtilen
güvencelerden birinin sağlanması halinde
kişisel verilerin, ilgili kişinin açık
rızası olmaksızın aktarılabileceği
belirtilmektedir.
- Ortak ekonomik faaliyette bulunan teşebbüs grubu
bünyesindeki şirketlerin uymakla yükümlü
oldukları, kişisel verilerin korunmasına
ilişkin hükümler ihtiva eden ve Kurul
tarafından onaylanan bağlayıcı şirket
kurallarının2 varlığı, - Kurul tarafından ilan edilecek standart
sözleşmenin
varlığı3, - Yeterli korumayı sağlayacak hükümlerin yer
aldığı yazılı bir taahhütnamenin
varlığı4 ve Kurul tarafından
aktarıma izin verilmesi, - Yurt dışındaki kamu kurum ve
kuruluşları veya uluslararası kuruluşlar ile
Türkiye’deki kamu kurum ve kuruluşları veya kamu
kurumu niteliğindeki meslek kuruluşları
arasında yapılan uluslararası sözleşme
niteliğinde olmayan anlaşmanın
varlığı ve Kurul tarafından aktarıma izin
verilmesi.
c. Geçici Aktarım
Opsiyonları:
Yukarıdaki opsiyonlar kapsamına girilemiyorsa,
geçici olmak kaydıyla5,
aşağıdaki hallerden birinin varlığı
halinde kişisel verilerin yurt dışına
aktarılabileceği belirtilmektedir:
- Muhtemel riskler hakkında bilgilendirilmesi kaydıyla,
ilgili kişinin açık rızası, - Aktarımın, ilgili kişi ile veri sorumlusu
arasındaki bir sözleşmenin ifası veya ilgili
kişinin talebi üzerine alınan sözleşme
öncesi tedbirlerin uygulanması için zorunlu
olması, - Aktarımın, ilgili kişi yararına veri
sorumlusu ve diğer bir gerçek veya tüzel kişi
arasında yapılacak bir sözleşmenin
kurulması veya ifası için zorunlu
olması, - Aktarımın üstün bir kamu yararı
için zorunlu olması, - Bir hakkın tesisi, kullanılması veya
korunması için kişisel verilerin
aktarılmasının zorunlu olması, - Fiili imkânsızlık nedeniyle
rızasını açıklayamayacak durumda bulunan
veya rızasına hukuki geçerlilik tanınmayan
kişinin kendisinin ya da bir başkasının
hayatı veya beden bütünlüğünün
korunması için kişisel verilerin
aktarılmasının zorunlu olması, - Kamuya veya meşru menfaati bulunan kişilere
açık olan bir sicilden, ilgili mevzuatta sicile
erişmek için gereken şartların
sağlanması ve meşru menfaati olan kişinin talep
etmesi kaydıyla aktarım yapılması.
Son olarak, veri sorumlusu ve veri işleyenler
tarafından kişisel veriler yurt dışına ilk
kez aktarıldıktan sonraki aktarımlar için de
yukarıdaki hükümler uygulanacaktır.
Footnotes
1 Kişilerin ırkı, etnik kökeni,
siyasi düşüncesi, felsefi inancı, dini, mezhebi
veya diğer inançları, kılık ve
kıyafeti, dernek, vakıf ya da sendika üyeliği,
sağlığı, cinsel hayatı, ceza
mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri
ile biyometrik ve genetik verileri özel nitelikli kişisel
veridir.
2 Kurul’un daha önce https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim
adresinde yayınladığı bağlayıcı
şirket kurallarının geçerli olup
olmayacağı net değildir. Muhtemelen Kurul yeni
bilgiler/dokümanlar hazırlayacaktır.
3 Bu sözleşme 5 iş günü
içerisinde Kurul’a iletilmelidir; iletilmemesi halinde
veri işleyen ve veri sorumlusu hakkında idari para
cezası
öngörülmüştür.
4 Kurul’un daha önce https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim
adresinde yayınladığı taahhütname
taslaklarının geçerli olup olmayacağı
net değildir. Muhtemelen Kurul yeni bilgi ve taslaklar
hazırlayacaktır.
5 Diğer bir ifadeyle tek veya birkaç sefer ve
süreklilik taşımayacak şekilde anlamına
gelmektedir.
The content of this article is intended to provide a general
guide to the subject matter. Specialist advice should be sought
about your specific circumstances.
POPULAR ARTICLES ON: Privacy from Turkey
#Kişisel #Verilerin #Yurtdışına #Aktarımı #Özel #Nitelikli #Veri #İşlenmesindeki #Önemli #Değişiklikler #Hakkında #Bülten #Data #Protection