02/03/2024 tarih ve 32487 sayılı Resmi Gazete’de yayınlanan 7499 Sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun kapsamında 6698 sayılı Kişisel Verileri Koruma Kanunu ile ilgili;

1.    Özel Nitelikli Kişisel Verilerin İşlenme Şartları

Yasa ile özel nitelikli kişisel verilerin işlenme şartları, güncel ihtiyaçlar ve Avrupa Birliği Genel Veri Koruma Tüzüğü nazara alınarak yeniden düzenlendi.

Kanun ile özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm muhafaza edilirken özel nitelikli kişisel verilerin işlenebileceği haller de sayılıyor.

Bu verilerin işlenmesi, 

ilgili kişinin açık rızasının olması, 

kanunlarda açıkça öngörülmesi, 

fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin veya başkasının hayatı, beden bütünlüğünün korunması için zorunlu olması, 

ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, 

sır saklama yükümlülüğü altındaki kişiler veya yetkili kuruluşlarca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, 

istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması

hallerinde mümkün olacak.

2.    Kişisel Verilerin Yurt Dışına Aktarılması

Yasa ile kişisel verilerin yurt dışına aktarılması usulü yeniden düzenlendi.

Kişisel veriler, kişisel verilerin işlenme şartları ile özel nitelikli kişisel verilerin işlenme şartlarından birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecek.

Yeterlilik kararı, Kişisel Verileri Koruma Kurulu tarafından verilecek. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alacak. Yeterlilik kararı, en geç 4 yılda bir değerlendirilecek. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde yeterlilik kararını ileriye etkili olmak üzere değiştirebilecek, askıya alabilecek veya kaldırabilecek.

Düzenlemede yeterlilik kararı verilirken dikkat edilecek hususlar da yer alıyor. Bu hususlar, "kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu", "kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar", "kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması", "kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu", "kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye'nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu", "Türkiye'nin taraf olduğu uluslararası sözleşmeler" şeklinde sıralandı.

Kişisel veriler, yeterlilik kararının bulunmaması durumunda, kişisel verilerin işlenme şartları ile özel nitelikli kişisel verilerin işlenme şartlarından birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması ve düzenlemede belirtilen güvencelerden birinin taraflarca sağlanması halinde yurt dışına aktarılabilecek.

Standart sözleşme, imzalanmasından itibaren 5 iş günü içinde veri sorumlusu veya veri işleyen tarafından Kişisel Verileri Koruma Kurumuna bildirilecek. Bildirim yükümlülüğünü yerine getirmeyenler hakkında 50 bin Türk lirasından 1 milyon Türk lirasına kadar idari para cezası verilecek.

Kurulca verilen idari yaptırım kararlarının mahiyeti dikkate alınarak bu kararlara karşı idare mahkemelerine dava açılması imkanı tanınıyor. 1 Haziran 2024 tarihi itibarıyla daha önce açılan ve halen sulh ceza hakimlikleri önünde bulunan dosyalar, bu hakimliklerce nihai karara bağlanacak.

Yasa ile öngörülen genel düzenleyici işlemlerin Kişisel Verileri Koruma Kurulu tarafından hazırlanmasına imkan sağlamak amacıyla, değişikliklerin yürürlük tarihi 1 Haziran 2024 olarak belirleniyor.

Değişiklikler ile ilgili detaylı bilgiye “Dokümanı İndir” butonuna tıklayarak ulaşabilirsiniz.