1. Giriş

16.02.2024 tarihinde Türkiye Büyük Millet Meclisi’ne sunulan ve kamuoyunda “8. Yargı Paketi” olarak bilinen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi, 01.06.2024 tarihinde yürürlüğe girmek üzere 02.03.2024 tarihinde TBMM Genel Kurulunda kabul edilmiştir.  

İşbu bilgi bülteninde Ceza Muhakemesi Kanunu’nun yanı sıra, Hukuk Muhakemeleri Kanunu, Türk Ceza Kanunu, İcra ve İflas Kanunu, Terörle Mücadele Kanunu, Kabahatler Kanunu, Çocuk Koruma Kanunu, Türk Medeni Kanunu, Tüketicinin Korunması Hakkında Kanun gibi birçok mevzuat değişikliği getiren 8. Yargı Paketi ile kişisel verileri koruma mevzuatı özelinde yapılan değişikliklere yer verilecektir.

2. Kişisel Verilerin Korunması Kanunu’ndaki Değişiklikler

2016 yılında Avrupa Birliği’nin 95/46 sayılı Direktifini temel alarak hazırlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) Genel Veri Koruma Tüzüğü (“GDPR”) ile uyumlu hale getirilebilmesi için 2021 yılından koyulan politik hedef 2024 yılında yasalaşarak somutlaşmış ve Kanun’da[1] genel olarak aşağıdaki değişiklikler yapılmıştır;

5. Özel nitelikli kişisel verilerin işleme şartları genişletilmiştir.
5. Kişisel verilerin yurtdışına aktarılması için yeni ve alternatifli bir uygulama öngörülmüştür.
5. Yurtdışına kişisel veri aktarımının söz konusu olduğu hallerde açık rıza alınması genel bir sebep olmaktan çıkarılmış, istisnai bir durum haline getirilmiştir.
5. Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından verilen cezalara karşı itiraz merci değişmiş olup tek bir yargı yolu olarak idari yargı yolu belirlenmiştir.
5. Kişisel verilerin yurtdışına aktarılmasına ilişkin yeni bir kabahat ihdas edilmiş ve veri işleyenlerin de veri sorumlularıyla birlikte idari para cezalarından dolayı sorumlu olduğu esası kabul edilmiştir. 

B.1      Özel Nitelikli Kişisel Verilerin İşlenme Şartlarındaki Değişiklikler

Kanun’un eski hali çerçevesinde özel nitelikli kişisel veriler; sağlık ve cinsel hayat verileri hariç olmak üzere kanunlarda öngörülen birtakım hallerde ilgili kişinin açık rızası olmaksızın işlenebilmekteydi. Sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenmesi mümkün idi.

Ancak bu düzenleme çerçevesinde uygulamada neredeyse özel nitelikli kişisel verilerin tamamı için açık rıza alınır hale gelmişti ve bu durum pratikte ciddi sorunlara yol açmaktaydı. Bu sorunların önüne geçmek adına özel nitelikli kişisel verilerin işleme şartları genişletilmiş ve ilgili kişinin açık rızası olmasa da aşağıdaki şartlardan birinin varlığı halinde işlenmesi mümkün kılınmıştır:

5. Kanunlarda açıkça öngörülmesi
5. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
5. İlgili kişinin alenileştirmiş olması
5. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
5. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması (Sağlık verileri açısından)
5. İstihdam, iş ve sosyal güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması
5. Siyasi parti, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması

B.2      Kişisel Verilerin Yurt Dışına Aktarılması Şartlarındaki Değişiklikler

Kişisel verilerin yurtdışına aktarılmasında ise uygulama tamamen değiştirilmiştir. Şöyle ki, Kanun’un mevcut hali çerçevesinde kişisel verilerin yurtdışına aktarılabilmesi için aşağıdaki hallerinden birinin varlığı yeterli idi:

5. İlgili kişinin açık rızası,
5. Veri aktarımı, yeterli korumanın bulunduğu güvenilir ülkelerden birine yapılıyor ise Kanun’da düzenlenen işleme şartlarından[2] birinin varlığı,
5. Veri aktarımı, yeterli korumanın bulunduğu güvenilir ülkelerden birine yapılıyor ise Kanun’da düzenlenen işleme şartlarından[3] birinin varlığının yanı sıra veri sorumlularının yeterli korumayı taahhüt etmesi ve Kurul’un izninin bulunması,
5. Bağlayıcı şirket kurallarının bulunması

Dolayısı ile ülkemizden yabancı ülkelere kişisel veri aktarılması için ilgili kişilerin tek tek açık rızasının alınması dışında sadece Türkiye'deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izin vermesi gerekmekte idi. Günümüze kadar Kurula 80’i aşkın taahhütname başvurusu yapılmış olup, bunlardan çok azına izin verilmiştir. Bu nedenle yurt dışına veri aktarılması uygulamada sadece ilgili kişilerin açık rızalarının alınmasına bağlı hale gelmiştir. Bu durum, ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği gibi, ülkemize yapılacak yatırımları da engelleyici bir hal almıştır.

Yeni düzenleme ile bu sorunun önüne geçmek adına Kanun’un ilgili maddesi değiştirilerek yurtdışına veri aktarımı adına aktarım yapılacak ülkede yeterli koruma ve buna istinaden yeterlilik kararı bulunup bulunmadığına göre alternatifli bir mekanizma getirilmiştir. Buna göre;

• Yeterlilik kararı[4] bulunuyorsa; Kanun’da düzenlenen işleme şartlarından[5] birinin varlığı halinde aktarım yapılabilir.
• Yeterlilik kararı bulunmuyorsa; Kanun’da düzenlenen işleme şartlarından[6] birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması ve aşağıdaki güvencelerden birinin sağlanması halinde aktarım yapılabilir:
• Bir anlaşmanın[7] varlığı ve Kurul tarafından aktarıma izin verilmesi
• Bağlayıcı şirket kurallarının[8] varlığı
• Kurul tarafından ilan edilen standart sözleşmenin[9] varlığı[10]
• Yazılı bir taahhütnamenin[11] varlığı ve Kurul tarafından aktarıma izin verilmesi
• Yeterlilik kararının bulunmaması ve yukarıda sayılan güvencelerden birinin de verilememesi halinde ise arızi olarak aşağıdaki hallerden birinin varlığı halinde aktarım yapılabilir:
• İlgili kişinin (muhtemel riskler hakkında bilgilendirilmesi kaydıyla) açık rıza vermesi
• Aktarımın,

• bir sözleşmenin ifası veya sözleşme öncesi tedbirlerin uygulanması,
• ilgili kişi yararına yapılacak bir sözleşmenin kurulması veya ifası,
• üstün bir kamu yararı,
• bir hakkın tesisi, kullanılması veya korunması,
• fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

• Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden aktarım yapılması

Kişisel verilerin açık rıza olmaksızın yurt dışına aktarılamayacağına ilişkin Kanun hükmü, 01.09.2024 tarihine kadar uygulanmaya devam edecektir. Böylelikle Kanun değişikliğinin yürürlüğe girmesinden itibaren üç ay süreyle daha, Kanun değişikliğinin yürürlüğe girmesinden önce alınmış veya sonra alınacak açık rızaya dayalı olarak yurt dışına veri aktarılmaya devam edilebilecektir.

Bu tarihten sonra ise açık rıza ile kişisel veri aktarımı yapılabilmesi için; yeterlilik kararı bulunmaması, öngörülen güvencelerden birinin sağlanamaması ve ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi şartıyla açık rıza almak suretiyle arızi olarak aktarım yapılabilecektir.

B.3      İtiraz Mercii Değişikleri

Halihazırda Kurul tarafından verilen idari para cezalarına karşı ceza kararının tebliğ tarihinden itibaren 15 gün içinde sulh ceza hakimliklerine iptal amaçlı başvurulabilmekteydi. Bunun yanı sıra Kurul’un izninin gerektiği başvurularda, izin talebinin Kurul tarafından reddine ilişkin kararın ve Kurul tarafından yapılan incelemede ihlal bulunmadığı yönünde verilen kararların idari nitelikli bir işlem olması sebebiyle, idari yargı yoluna gidilerek iptal davasının açılması da mümkündü.

8. Yargı Paketi ile yapılan değişiklik neticesinde; Kurulca verilen idari para cezalarına karşı da idare mahkemelerinde dava açılabileceği kabul edilmiştir. Kurulca verilen idari yaptırım kararlarının mahiyeti dikkate alınarak, bu kararlara karşı sulh ceza hâkimliğine başvuru yerine idare mahkemelerine dava açılması imkânı tanınmıştır.[12]

3. Sonuç

Özetlemek gerekirse; 8. Yargı Paketi ile Kanun kapsamında özel nitelikli kişisel verilerin işleme şartları genişletilmiş, özel nitelikli kişisel verilerin tümü yönünden bu işleme şartlarının uygulanması öngörülmüştür. Avrupa Birliği, 2018 yılında yürürlüğe koyduğu Genel Veri Koruma Tüzüğüyle her geçen gün gelişen teknoloji ve dijitalleşme ile ticari hayatın dinamikliğinin doğurduğu ihtiyaçları nazara alarak, ilgili kişilerin haklarını da koruyacak şekilde Avrupa Birliği dışına veri aktarılması bakımından yeni yöntemler öngörmüştür.

Dikkat çeken uygulamalardan biri olan Standart Sözleşme imzalanması usulünün uygulanabilirliği için standart sözleşmenin 5 iş günü içerisinde Kurul’a sunulması gerekmektedir. Aksi halde idari para cezası verileceğine ilişkin yeni bir kabahat eklenmiştir. İlgili kabahat doğrultusunda hem veri sorumlularına hem de veri işleyenlere ceza verilmesi olanağı bulunmaktadır. Önemle belirtmek gerekir ki Kurul tarafından verilen kararın niteliği fark etmeksizin idare mahkemelerinde dava açma imkânı tanınmış böylelikle tek bir yargı yolu belirlenmiştir.

Yargı paketi ile getirilen değişiklikler Meclis tarafından kabul edilip yasalaşmış olup 1 Haziran 2024 tarihinde yürürlüğe girecektir.

Saygılarımızla,

Gülaç Hukuk Bürosu