Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında önemli değişiklikler yapılmıştır. Özellikle sağlık verileri de dahil olmak üzere özel nitelikli kişisel verilerin işlenmesi ve yurt dışına veri aktarımı alanlarında yeni kurallar getirilmiştir. Bu yeni düzenlemeler, sağlık hizmetleri profesyonelleri, doktorlar ve sağlık turizmi sektöründe faaliyet gösteren aracı kurumlar açısından büyük önem taşımaktadır. 12 Mart 2024 tarihli Resmî Gazete'de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun, KVKK' ya çeşitli değişiklikler getirmiştir.

Bu yazımızda, özellikle sağlık ve cinsel hayata ilişkin kişisel verilerin işlenmesine ve yurt dışına aktarımına yönelik yeni kuralları, bu düzenlemelerin sağlık verilerinin korunması ve uluslararası hasta verilerinin işlenmesi üzerindeki etkilerini inceleyeceğiz.

KVKK'da Yapılan Değişiklikler Hangi Maddeleri Kapsıyor?

KVKK'nın 6. maddesinde yer alan "Özel Nitelikli Kişisel Verilerin İşlenme Şartları" ve 9. maddesinde yer alan "Kişisel Verilerin Yurt Dışına Aktarımı" şartları değiştirilmiştir.

I-  Özel Nitelikli Kişisel Verilerin İşlenme Şartlarında Değişiklik:

İşlenme şartları kapsamında, KVKK'da yapılan son güncellemelerle Kanunun 6. maddesinin 3. fıkrası kaldırılmış, sağlık ve cinsel hayat gibi konular da dahil olmak üzere tüm özel nitelikli kişisel verilerin işlenme koşulları eşitlenmiştir. Özel nitelikli kişisel verilerin işlenmesi genellikle yasaktır, ancak belirli istisnai durumlar bu yasağın dışında tutulmuştur.

Yeni düzenlemede, özel nitelikli kişisel verilerin işlenebileceği istisnai durumlar tek tek belirtilmiştir.

KVKK'nın yeni düzenlemeleri kapsamında belirtilen istisnai durumları örneklerle açıklayalım:

1.  İlgili kişinin açık rızası.

Örnek: Bir hastanın genetik testlerle ilgili bir araştırmaya katılması söz konusu ise hastanın bu testlere katılmayı kabul ettiğine dair açık rızası almalıdır. Bu süreçte, hasta hangi bilgilerin toplanacağı, bu bilgilerin nasıl ve neden kullanılacağı hakkında tam olarak bilgilendirilmeli ve bu bilgilere dayanarak açık bir rıza formu imzalamalıdır.

2. Kanunlarda açıkça öngörülmüş olması.

Örnek: Bazı meslek grupları, mesleklerini icra edebilmek için belirli sağlık kriterlerini karşılamak zorundadır. Örneğin, pilotlar ve otobüs şoförleri gibi görevlerde çalışacak kişilerin, kamu güvenliği açısından belirli sağlık standartlarını karşılaması gereklidir. Bu tür durumlar için, işverenlerin işe alım sürecinde adayların belirli sağlık kontrollerinden geçirilmesi gerekebilir. Bu kontroller, KVKK'nın sağlık bilgilerini işleme kısıtlamalarına rağmen, ilgili kanunlarda açıkça öngörüldüğü için yasal olarak mümkündür.

3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.

Örnek: Bir trafik kazasında bilinci kapalı bir hastanın, hayati tehlikesinin olması sebebiyle acil cerrahi müdahaleye ihtiyaç duyulması. Bu durumda, hastanın rızası alınamayacağı için doğrudan müdahalede bulunabilir.

4. İlgili kişinin alenileştirdiği kişisel verilerine ilişkin ve alenileştirme iradesine uygun olması:

Örnek: Bir politikacı, sosyal medya üzerinden sağlık durumu hakkında açıklamalarda bulunursa, bu bilgilerin kamuoyu tarafından tartışılması ve kullanılması.

5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması.

Örnek: Bir işveren, işe giriş sürecinde adaylardan sağlık bilgileri toplamak zorunda kalabilir. Bu özellikle, işin doğası gereği belli sağlık koşullarını gerektirdiği durumlarda geçerlidir. Örneğin, ağır makine kullanımı gerektiren bir iş için, işveren iş güvenliği açısından adayın belirli sağlık şartlarını karşılayıp karşılamadığını doğrulamak zorundadır. Bu durumda, adayın sağlık verilerinin işlenmesi, hem adayın hem de iş yerindeki diğer çalışanların güvenliğini sağlamak adına zorunludur.

6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması.

Örnek: Hastaneler ve diğer sağlık kuruluşları, hastaların sağlık bilgilerini tedavi süreçlerini yönetmek ve hastalıkları teşhis etmek için kullanabilir.

7. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarında hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması:

Örnek: Bir iş yerinde iş sağlığı ve güvenliği kapsamında çalışanların sağlık bilgilerinin toplanması, bu bilgilerin iş yerindeki sağlık ve güvenlik önlemlerinin planlanması için kullanılması.

8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması:

Örnek: Bir sendika, üyelerinin iş güvenliği ve sağlığı hakkında bilgi toplayabilir ve bu bilgileri, sadece sendikanın kendi iç hukuki ve işleyiş gerekçeleri için kullanabilir. Bu bilgiler, üyelerin çalışma koşullarını iyileştirmek amacıyla işverenlerle yapılan müzakerelerde sendika tarafından kullanılabilir ancak sendikanın dışındaki taraflarla paylaşılmaz.

II– Kişisel Verilerin Yurt Dışına Aktarımı Şartlarında Değişiklik

KVKK’nın 9. Maddesinde yapılan düzenleme ile  yurt dışına kişisel veri aktarımı ile ilgili olarak önemli değişiklikler getirilmiştir. Mevcut yasada uygulanan;  “güvenli ülke listesi”, “taahhütname” ve “açık rıza “sistematiği terk edilerek, daha kapsamlı bir yeterlilik kararı, uygun güvenceler ve arızi haller sistematiği benimsenmiştir. Yeterlilik Kararının Kişisel Verileri Koruma Kurul’u (“Kurul”) tarafından her dört senede bir tekrardan değerlendirileceği düzenlenmiştir.

Kişisel Verilerin Yurt Dışına Aktarım  Şartları:

KVKK'nın 9. maddesinde yapılan düzenlemelerle, yurt dışına veri aktarımı için yeni şartlar belirlenmiştir:

1. Yeterlilik Kararı: Kişisel Verileri Koruma Kurulu tarafından belirlenen ve her dört yılda bir değerlendirilen yeterlilik kararına dayanarak, belirli ülkelere, uluslararası kuruluşlara veya sektörlere veri aktarımı yapılabilir.

2. Yeterlilik Kararı Olmaması Durumunda: Yeterlilik kararının bulunmadığı durumlarda, KVKK'nın 5. ve 6. maddelerinde belirtilen şartlar altında, aktarım yapılacak ülkede ilgili kişilerin haklarını kullanabilmeleri ve etkili yargı yollarına başvurabilmeleri gerekmektedir. Bu şartlar sağlandığında, yurt dışına kişisel veri aktarımı için aşağıdaki yöntemler uygulanabilir:

   - Uluslararası Sözleşmeler: Türkiye ve yurt dışındaki kamu kurumları, kuruluşlar, meslek kuruluşları ve uluslararası kuruluşlar arasında imzalanacak uluslararası sözleşme niteliğinde olmayan sözleşmelerle aktarım yapılabilir.

   - Bağlayıcı Şirket Kuralları: Ortak ekonomik faaliyetlerde bulunan grup şirketleri tarafından uyulması gereken kurallar çerçevesinde aktarım yapılabilir.

   - Standart Sözleşmeler: Kişisel Verileri Koruma Kurulu tarafından belirlenen ve ilan edilen hususları içeren standart sözleşmelerin imzalanması ile aktarım gerçekleştirilebilir.

   - Taahhütname: Yeterli koruma sağlayacak hükümleri içeren ve Kişisel Verileri Koruma Kurulu tarafından onaylanan taahhütnameler ile aktarım yapılabilir.

3. Arızi ( Geçici ) Haller: 

KVKK'da  belirtilen standart şartların  sağlanamaması halinde,  kişisel verilerin yurt dışına aktarılması için aşağıdaki geçici (arızi) durumlarda da veri aktarımı mümkün olacaktır.

a) İlgili Kişinin Açık Rızası: İlgili kişi, muhtemel riskler konusunda tam olarak bilgilendirildikten sonra veri aktarımına açık rızasını verebilir.

b) Sözleşmenin İfası: İlgili kişi ile veri sorumlusu arasındaki sözleşmenin gerekliliklerini yerine getirmek veya ilgili kişinin talebi üzerine alınacak önlemler için veri aktarımı zorunlu olabilir.

c) Kamu Yararı: Veri aktarımı, üstün bir kamu yararını korumak için gerekli olabilir.

d) Hakların Korunması: Bir hakkın tesisi, kullanılması veya korunması için veri aktarımı zorunlu hale gelebilir.

e) Acil Durumlar: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişilerin kendilerinin veya başkalarının hayatını veya beden bütünlüğünü korumak için veri aktarımı gerekebilir.

f) Kamu Siciline Erişim: Kamuya açık bir sicilden, mevzuat kapsamında sicile erişim için gerekli şartlar sağlandığı sürece, kişinin talebi üzerine veri aktarımı yapılabilir.

Bu konudaki düzenlemelerin, KVKK'nın uluslararası veri koruma standartlarına uyumunu sağlamak amacıyla oluşturulduğu, yurt dışına veri aktarımı konusunda yaşanan sorunlara çözüm olmasının amaçlandığı düşünülmektedir.

II- “Kabahatler” Maddesinde Değişiklik (KVKK Madde 18 )

Madde 18'de yer alan değişiklikler, KVKK kapsamında belirli yükümlülüklerin yerine getirilmemesi durumunda uygulanacak idari para cezalarını güncellemektedir. Yeni düzenlemeye göre;

1. Aydınlatma Yükümlülüğü: Kanunun 10. maddesi kapsamında, aydınlatma yükümlülüğünü yerine getirmeyenlere 5.000 Türk Lirasından 100.000 Türk Lirasına kadar idari para cezası uygulanabileceği,

2. Veri Güvenliği Yükümlülükleri:12. maddede belirtilen veri güvenliği yükümlülüklerini yerine getirmeyenlere 15.000 Türk Lirasından 1.000.000 Türk Lirasına kadar ceza verilebileceği,

3. Kurul Kararlarına Uymama: 15. Maddede belirtilen Kişisel Verileri Koruma Kurulu tarafından verilen kararları yerine getirmeyenler için 25.000 Türk Lirasından 1.000.000 Türk Lirasına kadar ceza ile karşı karşıya kalabileceği,

4. Veri Sorumluları Siciline Kayıt ve Bildirim Yükümlülüğü: 16. maddede öngörülen Veri Sorumluları Siciline (VERBİS) kayıt ve bildirim yükümlülüğüne aykırı hareket edenlere 20.000 Türk Lirasından 1.000.000 Türk Lirasına kadar idari para cezası uygulanabileceği,

5. Yurt Dışına Veri Aktarımı Bildirim Yükümlülüğü: 9. maddenin beşinci fıkrasında öngörülen yurt dışına veri aktarımı bildirim yükümlülüğünü yerine getirmeyen veri sorumlularına ve veri işleyenlere 50.000 Türk Lirasından 1.000.000 Türk Lirasına kadar ceza verilebileceği düzenlenmiştir.

Cezalara İtiraz

KVKK Kurulu tarafından verilen idari para cezalarına karşı idare mahkemelerinde dava açılabilecektir.

Kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenen ihlallerde ise  Kurulun yapacağı bildirim üzerine ilgili personel hakkında disiplin hükümleri uygulanır ve sonuç Kurula bildirilir.

KVKK'da Yapılan Değişiklikler Hangi Tarihte Yürürlüğe Giriyor?

Yasa değişikliği, iki aşamalı bir geçiş süreci içermektedir. Yurt dışına veri aktarımına ilişkin 9.maddede yer alan düzenlemeler 1 Eylül 2024’de yürürlüğe girecek, diğer düzenlemeler ise 1 Haziran 2024’te yürürlüğe girecektir. Bu süre zarfında, yeni düzenlemelere uyum sağlamak için gerekli hazırlıklar yapılarak, geçiş döneminde tüm uyumlaştırma çalışmalarının gözden geçirilmesi gerekecektir.

Ayrıca, yargı paketi ile KVKK'nın 18. maddesi altında Kişisel Verileri Koruma Kurulu kararlarına yapılan itirazlar için artık İdare Mahkemeleri yetkili kılınmıştır. Ancak, 1 Haziran 2024 tarihinden önce Sulh Ceza Hakimliklerinde görülmekte olan dosyalar, yine bu hakimliklerde işlem görmeye devam edecektir.

Sonuç olarak, Kişisel Verilerin Korunması Kanunu'nun (KVKK) uluslararası veri koruma standartlarıyla daha uyumlu hale gelmesinin amaçlayan bu düzenlemelerin detayları, ilerleyen zamanlarda çıkacak olan yeni yönetmeliklerle netleştirilecektir. Veri sorumlularına ve veri sahiplerine rehberlik edecek gelişmeler hakkında bilgilendirmeye devam edeceğiz.

Arb. Av. Ayşe Gül Hanyaloğlu