KVKK’da yapılan değişiklikle birlikte kişisel veriler artık kişilerin açık rızası olmadan da yurt dışına aktarılabilecek. Değişiklik 1 Eylül’de yürürlüğe girecek.
ARMAĞAN TEZEL
Türkiye Büyük Millet Meclisi (TBMM) Genel Kurulu'nda 2 Mart'ta kabul edilerek yasalaşan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, 12 Mart tarihli Resmi Gazete'de yayımlanarak yürürlüğe girdi.
“8. Yargı Paketi” olarak da bilinen kanun kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) da değişiklikler yapıldı.
Adalet Bakanı Yılmaz Tunç’un “Kişisel verilerin etkili bir şekilde korunmasını amaçlıyor” diyerek duyurduğu değişikliklerin, KVKK'nın uluslararası standartlara uyum sağlaması amacıyla yapıldığı belirtiliyor.
Özellikle Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) daha uyumlu olması niyetiyle yapılan değişiklikler kapsamında Türkiye Cumhuriyeti yurttaşlarının kişisel verilerinin yurt dışına aktarılması kolaylaştı.
‘Açık rıza beyanı’ şartı ön koşul olmaktan çıkarıldı
Çünkü KVKK'nın 9’uncu maddesinde yapılan değişikliklerle, yurt dışı kuruluşlu olan ve faaliyetlerini de yurt dışında yürüten şirketlerin Türkiye’deki müşterilerine veya kullanıcılarına ait verileri kendi ülkelerine taşımalarına ve orada saklamalarına izin verildi.
Bu, değişiklik yapılmadan önceki kanunun 9’uncu maddesinin 1’inci fıkrası tarafından kısıtlanmıştı ve kişisel verilerin yurttaşların açık rızası olmadan yurt dışına taşınması ve orada saklanmasına izin verilmiyordu. Ancak yeni düzenlemeyle birlikte açık rıza şartı ön koşul olmaktan çıkarıldı.
Artık kişisel verilerin yurt dışına aktarılabilmesi için aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında “yeterlilik kararı bulunması” aktarım için yeterli olacak.
Bu yeterlilik kararı Kişisel Verileri Koruma Kurumu (KVKK) Yönetim Kurulu tarafından aşağıdaki konular dikkate alınarak verilecek:
- Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
- Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
- Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
- Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye'nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
- Türkiye'nin taraf olduğu uluslararası sözleşmeler.
Yurt dışı merkezli başvurucunun yeterlilik kararını almasını sağlayacak hususların oluşmaması halinde ise tarafların uygun güvencelerden birini (taahhütname, bağlayıcı şirket kuralları (BCR), standard sözleşme hükümleri (SCC) veya uluslararası sözleşme niteliğinde olmayan sözleşmeler) sağlaması beklenecek.
Güvencelerin de sağlan(a)madığı durumda ise aşağıdaki şartlardan herhangi birinin sağlanması halinde yalnızca tek veya birkaç sefere mahsus olmak kaydı ile kişisel veriler yurt dışına aktarılabilecek:
- Verileri aktarılmak istenen yurttaşların açık rızası
- İlgili kişiyle onun verilerini yurt dışındaki merkezine taşımak isteyen kuruluş arasında yapılacak bir sözleşme
- Aktarımın kamu yararı için zorunlu olması
- Bir hakkında tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması
- Kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarımının zorunlu olması.
Söz konusu değişiklik, 1 Eylül’de yürürlüğe girecek.
Kişisel verilerin işlenmesindeki ‘açık rıza’ şartı da kaldırıldı
8. Yargı Paketi kapsamında KVKK’nın özel nitelikli kişisel verilerin işlenmesini düzenleyen 6’ncı maddesinde de değişiklik yapıldı.
Değişiklikten önce, kişilerin “ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayılan özel nitelikli kişisel veriler, ilgilinin açık rızası olmaksızın işlenmesi yasaktı.
Değişiklikle birlikte sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ile diğer özel nitelikli kişisel veriler arasındaki ayrım kaldırıldı ve özel nitelikli kişisel verilerin işlenme şartları genişletildi.
“Sağlık ve cinsel hayat dışındaki” kişisel verilerin aşağıdaki şartlardan birinin varlığı halinde bu işlenmesi mümkün kılındı:
- İlgili kişinin açık rızasının olması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,