Logo

KVKK Yasa Tasarısı Yayımlandı – Değişime Hazır Olun

6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) hakkında maddeler de içeren, Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi 16.02.2024 tarihinde Türkiye Büyük Millet Meclisi’ne sunuldu.

KVKK kapsamında özellikle iş hayatında birçok belirsizlik yaşanan kişisel verilerin istihdam süreçlerinde işlenmesi, yurt dışına veri aktarımı ve hukuki görüş farklılıkları bulunan idari para cezalarının itiraz süreçlerine ilişkin hukuki düzenleme tasarıda yer aldı. Yeni maddeler ile KVKK, veri koruma kanunumuzun temelini oluşturan Avrupa Veri Koruma Tüzüğü GDPR uygulamalarına daha da yaklaşmış olacak.

Buna göre, veri işleyen gerçek ve tüzel kişilerin aşağıdaki hususlarda kişisel verilerin korunmasına ilişkin uygulama, süreç, doküman gibi yönetim süreçlerini gözden geçirme ve yasa değişikliğinin onaylanmasının ardından değişiklikleri uyarlama gerekliliği ortaya çıkmış oldu:

 

  • İlgili kişilerin süreç bazlı olarak bilgilendirildiği aydınlatma metinleri
  • Çoğunlukla özel nitelikli kişisel veri işleme süreçleri için hazırlanmış olan açık rıza metinleri
  • Farkındalık çalışmaları ve periyodik çalışan farkındalık eğitimleri dokümanları
  • İş başı eğitim dokümanları
  • Veri aktarımına ilişkin üçüncü taraflarla imzalanan sözleşmeler
  • Yurt dışına veri aktarımına ilişkin süreç tasarımları, sözleşmeler, taahhütnameler
  • Politika, prosedür ve el kitapları
  • Şirket içi denetimlerde ortaya çıkan boşluk analizleri, denetim sonuçları ve çözüm önerileri
  • Şirket içi tüm uygulama ve süreçler

 

YASA TASARISI NELERİ İÇERİYOR?

Tasarı Madde NoYasanın Mevcut Hali

(Kaldırılan maddeler üstü çizili olarak gösterilmiştir.)

 

Yasa Tasarısı ile Yapılan Değişiklik

33Özel nitelikli kişisel verilerin işlenme şartları

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

 

Yasa tasarısı ile maddenin 2. ve 3. fıkrası kaldırılarak 2. fıkra aşağıdaki şekilde düzenlenmiştir:

 

Özel nitelikli kişisel verilerin işlenmesi yasaktır. Aşağıdaki durumlarda bu veriler işlenebilir:

–          İlgili kişinin açık rızasının varlığı

–          Kanunlarda açıkça öngörülmesi

–          Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

–          İlgili kişinin kendisi tarafından alenileştirilmiş olması ve veri işlemenin alenileştirme iradesine uygun olması

–          Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

–          Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacı ile işlenmesinin gerekli olması

–          İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanında hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

–          Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş veya oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; veri işlemenin mevcut veya eski üyelerine ve mensuplarına veya bu kuruluş ve oluşumlarla düzenli olarak temasla olan kişilere yönelik olması

34Kişisel verilerin yurt dışına aktarılması

MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz. 

(2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması,

b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması,

kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

(3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

(4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;

a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,

b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,

c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,

ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,

d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri,

değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

(5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

(6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

 

Yurt dışına aktarıma ilişkin olan madde metnine aşağıdaki şekilde eklemeler yapılmıştır:

 

1.      Kişisel veriler, 5. ve 6. maddelerde belirtilen şartlarda birinin varlığı halinde ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

2.      Yeterlilik kararı, kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı en geç 4 yılda bir değerlendirilir. Kurul değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir

3.      Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:

a.      Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu

b.      Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar

c.       Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması

d.      Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu

e.      Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu

f.        Türkiye’nin taraf olduğu uluslararası sözleşmeler

 

4.      Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5. ve 6. maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

a.      Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi

b.      Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı

c.        Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı

d.      Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi

5.      Standart sözleşme, imzalanmasından itibaren 5 iş günü içinde veri sorumlusu veya veri işleyen tarafından kuruma bildirilir.

6.      Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve 4. fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanmaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

a.      İlgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarımı açık rıza vermesi.

b.      Aktarımın ilgili kişiyle veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

c.       Aktarımın ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

d.      Aktarımın üstün bir kamu yararı için zorunlu olması

e.      Bir hakkın tesisi kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması

f.        Fiili imkânsızlık nedeniyle rızası açıklanamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması

g.      Kamu yararı veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması

7.      6. fıkrada yer alan (a), (b), (c) bentleri kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerine uygulanmaz

8.      Veri sorumlusu ve veri işleyenler tarafından yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.

9.      Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

35Kabahatler

MADDE 18- (1) Bu Kanunun;

a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,

b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,

c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,

ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,

idari para cezası verilir.

(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. 

(3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

 

Kanunun 18. maddesinin 1. fıkrasında sayılanlara aşağıdakiler eklenmiştir:

 

–          9. maddenin 5. fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanır.

 

Ayrıca Kanunun 18. maddesine aşağıdaki 2 fıkra eklenmiştir:

 

–          1. fıkrada (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlularına, (d) bendinde öngörülen idari para cezası ise veri sorumlusu veya veri işleyen gerçek kişiler ile tüzel kişilere uygulanır.

–          Kurulca verilen idari para cezalarına karşı idare mahkemelerinde dava açılabilir.

Geçici Madde  Kanuna geçici madde eklenmiştir:

 

–          9.maddenin bu maddeyi ihdas eden kanunla değiştirilmeden önceki birinci fıkrası maddenin yürürlüğe giren değişik haliyle birlikte 01.09.2024 tarihine kadar uygulanmaya devam edilir.

–          01.06.2024 tarihi itibarıyla sulh ceza hakimliklerine görülmekte olan başvurular bu hakimlik o hakimlikleri ece görülmeye devam edilir.

 

 

Logo

Compass®️ iş dünyasının sürekli evrilen taleplerine hızlı ve etkili çözümler sunan öncü bir danışmanlık firmasıdır. Kurumsal uyum, yönetmelikler, etik standartlar ve risk yönetimi gibi kritik alanlarda uzman ekibimiz ile müşterilerimize sunduğumuz benzersiz hizmetlerle işlerini daha rekabetçi, verimli ve uyumlu hâle getirmelerine yardımcı olmayı hedefliyoruz.

İletişim kanallarımız aracılığıyla bizimle kolayca iletişime geçebilir ve ihtiyaçlarınızı bizimle paylaşabilirsiniz.