6698 sayılı Kişisel Verilerin Korunması Kanununda özel nitelikli kişisel verilerin (ÖNKV) işlenmesi ve yurt dışına veri aktarılması ile ilgili reform paketi Resmi Gazete’de yayımlandı ve 01.06.2024 tarihinde yürürlüğe girecek. Değişikliklerin veri sorumlularının uyum süreçlerini nasıl etkileyeceği hakkında bilgi almak için linki tıklayabilir; “KVK Kanunu Reformunun Karşılaştırmalı Tablosu”nu ise bu linkten inceleyebilirsiniz.
Dilerseniz şimdi bu değişikliklere kısaca bir göz atalım:
Bildiğiniz gibi sağlık ve cinsel hayata ilişkin verilerin hukuka uygunluk sebepleri diğer ÖNKV’den farklı düzenlenmişti, bu ayrım ortadan kaldırıldı. Böylece 6. maddedeki hukuka uygunluk sebepleri sağlık verisi olsun olmasın tüm ÖNKV için geçerli olacak.
- ÖNKV işlenebilmesi için gerekli hukuka uygunluk sebepleri (veri işleme şartları) genişletilerek kural ve istisnalar yeniden belirlenmiş oldu:
“Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefî, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde mümkündür.”
2. Kişisel verilerin yurt dışına aktarılmasına ilişkin 9. maddede de kapsamlı değişiklikler yapıldı. Üç alternatifle kurgulanan yeni bir sistematik oluşturuldu, açık rıza yurt dışına veri aktarımında tek hukuka uygunluk sebebi olmaktan çıktı.
1. Alternatif: 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması,
2. Alternatif: Yeterlilik kararının bulunmaması halinde yine 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, Kanun’un 9/4 maddesinde yazılı olan güvencelerden birinin taraflarca sağlanması,
3. Alternatif: Yeterlilik kararının bulunmaması ve madde hükmünde uygun güvencelerden herhangi birinin sağlanamaması durumunda ise arızi (geçici) olmak kaydıyla sadece Kanun’un 9/6 maddesinde yazılı olan hallerden birinin varlığı halinde kişisel veriler yurt dışına aktarılabilecek.
Taahhütnamelerin yerini “Standart Sözleşmeler” aldı. İmzalanan sözleşmeler Kurula onaya gönderilmeyecek, imzalanmasından itibaren 5 iş günü içinde bildirilmesi yeterli olacak.
3. Uygulamayı en çok ilgilendireceğini düşündüğümüz bir diğer değişiklik ise yurt dışı veri aktarımının veri işleyen tarafından gerçekleştiriliyor olması durumunda standart sözleşmeyi veri sorumlusu veya veri işleyenin bildirmesi gerekmesidir.
4. Standart sözleşmeleri bildirim yükümlülüğünün yerine getirilmemesi durumunda 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasının uygulanacağı yeni bir kabahat tanımlandı.
5. Kurulun kararlarına karşı sulh ceza hâkimliğine başvurulması gerekiyordu artık idare mahkemelerinde dava açılacak.
Bu değişikliklerin yapılması ile kişisel verilerin korunmasının gündemden düşürülmek istenmediği ve sıranın GDPR genel uyum paketine geldiğini söylemek mümkün.