1. Özel nitelikli kişisel verilerin işlenme şartları genişletilecektir. Örneğin sağlık, ceza mahkumiyeti, din bilgisi gibi özel nitelikli kişisel veriler açık rıza ya da sır saklama yükümlülüğü bulunan yetkili kurum ya da kuruluşlarca işlenebilmesine ek olarak bir hak tesisi için zorunlu olması durumlarında, fiili imkânsızlık sebebiyle kişinin rızasının alınamayacak durumda olması ya da kanunlarda açıkça öngörülme vb. hususları söz konusu olduğunda kişilerin özel nitelikli kişisel verileri işlenebilecektir.
2.Kişisel verilerin yurtdışına aktarılması yeni hükümler ile genişletilmiş olacaktır ve GDPR’a tamamen uyumlu hale gelecektir:
• Kişisel veriler yurtdışına aktarılırken Kişisel Verileri Koruma Kurulu (“Kurul”) bir “yeterlilik kararı” verecektir. Yeterlilik kararı dört yılda bir güncellenir. Kurul gerektiğinde yeterlilik kararını değiştirebilir, askıya alabilir ya da kaldırabilir.
• Yeterlilik kararı verilirken, kişisel verilerin aktarılacağı ülke, sektörler ile Türkiye arasındaki aktarımın karşılıklılık durumu, kişisel verilerin aktarılacağı ülkenin tabi olduğu kurallar, bağımsız ve etkin bir veri koruma kurumunun varlığı ve başvuru yolları, uluslararası kuruluşlara üye olma durumları gibi hususlar dikkate alınacaktır.
• İlgili kişisel veriler yeterlilik kararının bulunmaması halinde belirtilen işleme şartlarından birinin varlığı ile o ülkedeki haklarını kullanma ve başvuru imkanının bulunması ve Kurul tarafından aktarıma izin verilmesi şartıyla yurt dışına aktarılabilir.
• Bağlayıcı şirket kurallarının varlığı, Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içeren eden standart sözleşmenin ve veri koruma hükümlerinin yer aldığı yazılı taahhütnamenin varlığı durumlarında yurt dışına veri aktarılabilecektir.
3.Kişisel verilerin yurtdışına aktarılmasına ilişkin hükümlerin yerine getirilmemesi kabahat olarak değerlendirilecektir.
4.İlgili madde kapsamında bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanabilecektir.
5.Öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacaktır.
6.Ayrıca Kurul’u kararlarına karşı itirazlarda yargı yolu, “idari yargı yolu” olarak düzenlenecektir.
Değişiklik Teklifi’nin kabul edilmesi ile birlikte yapılan değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecektir, ancak geçici madde ile bazı hükümlerde kademeli geçiş öngörülmüştür. Bu kapsamda yurtdışı aktarıma ilişkin 9. Maddenin, yeni madde ile beraber üç ay daha uygulanması öngörülmektedir ve 01.06.2024 tarihi itibarıyla sulh ceza hâkimlikleri önünde bulunan dosyalar, bu hâkimliklerce nihai karara bağlanacaktır.
Kanun teklifinde yer alan değişikliklerin kabul edilmesi halinde envanterlerin özel nitelikli kişisel veriler ile yurtdışı veri aktarımı gibi alanlarının, aydınlatma ve açık rıza metinlerinin güncellenmesi gerekecektir. Yurtdışına veri aktarımı gerçekleştirilen süreçler de Kanun tarafından öngörülen yeni yöntemler nezdinde yeniden değerlendirilmeli ve düzenlenmelidir.
TuneSoft olarak uzman ekibimizle KVKK ve GDPR uyum süreçlerinin yönetimi için geliştirdiğimiz TuneSoft Regtech Platformu aracılığıyla organizasyonunuzu Kanun değişikliklerine uyumlu hale getirmeye hazırız. Ek bilgi ve sorularınız için bizimle her zaman iletişime geçebilirsiniz.