8. Yargı Paketi kapsamında hazırlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (“Kanun Teklifi”) ve gerekçesi Türkiye Büyük Millet Meclisi Başkanlığına sunuldu. Kanun Teklifi, Kişisel Verileri Koruma Kanunun (“KVKK”) Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation) ile uyumlu hale getirilmesini amaçlayan hükümler de içeriyor.
Bu kapsamda, Kanun Teklifi kapsamında KVKK bakımından öne çıkan başlıca hususlara aşağıda yer verilmiştir:
KVKK’nın 6. maddesinde düzenlenen “özel nitelikli kişisel verilerin işlenme şartları” genişletilerek açık rızanın yanı sıra çeşitli hukuka uygunluk sebepleri belirtilmiştir. Böylece, sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler konularındaki yükümlülüklerin yerine getirilmesi ile dernek, vakıf ve benzeri organizasyonların kendi faaliyetleri ile ilgili yükümlülüklerinin yerine getirilmesi bakımından duyulan ihtiyaçlara uygun istisnalar öngörülmüştür.
KVKK’nın 9. maddesinde düzenlenen “kişisel verilerin yurt dışına aktarılması” bakımından yeni bir sistem öngörülmüş ve açık rızanın bulunması veri aktarımı için genel bir sebep olmaktan çıkarılarak istisnai hale getirilmiştir. Buna göre; verinin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı verilmesi usulüyle kişisel verilerin yurt dışına aktarılmasına olanak sağlanmıştır. Bu sayede, ülkenin tamamı hakkında yeterlilik kararı olması gerekliliği kalkmış ve kişisel verilerin aktarılacağı ülkede sektörel bazda yeterlilik kararı verilebilmesi ile uygulamada karşılaşılan sorunlar azaltılmaya çalışılmıştır. Yeterlilik kararının olmadığı haller için ise belli şartlarla “uygun güvencelerin” sağlanmasıyla da kişisel veri aktarımı mümkün olacaktır. Uygun güvence sağlanamaması halinde, istisnai durumlarda ve belirtilen şartların varlığı halinde, tek veya birkaç sefer ve süreklilik taşımayacak şekilde yurt dışına veri aktarılması mümkün olacaktır.
KVKK’nın 9. maddesine yapılan ekleme ile, ilgili veri sorumlusunun veya veri işleyenin kişisel verilerin yurt dışına aktarılmasına ilişkin standart sözleşmeleri beş iş günü içinde Kişisel Verileri Koruma Kurumuna bildirimde bulunması gerektiği düzenlenmiştir. Ayrıca, KVKK’nın 18. maddesi uyarınca, bu yükümlülüğün yerine getirilmediği durumlar bakımından idari para cezası öngörülmüştür.
İdare mahkemeleri, Kişisel Verileri Koruma Kurulu tarafından uygulanan idari ppara cezalarına karşı açılacak davalar bakımından tek yargı makamı olarak görevlendirilmiştir. Böylece, KVKK kapsamında uygulanan idari para cezaları için sulh ceza hakimliklerine başvuru yolu kapatılarak idari mahkemelerinde daha kapsamlı inceleme yapılmasının sağlanması hedeflenmiştir. Bununla birlikte, 01.06.2024 tarihi itibarıyla sulh ceza hakimlikleri önünde bulunan dosyaların bu hakimliklerce incelenmeye devam edilerek karara bağlanacağı ifade edilmiştir.
Bu hususların haricindeki farklı konulara ilişkin de detaylı düzenlemeler içeren Kanun Teklifinin yakın zamanda görüşülmesi beklenmektedir.