A. 2021 YILINDA GERÇEKLEŞEN ÖNEMLİ MEVZUAT DEĞİŞİKLİKLERİ
1. Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik İle Yapılan Değişiklikler
24.02.2021 tarihli 31405 sayılı Resmi Gazete (2. Mükerrer) ’de Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik (“Tedbirler Yönetmeliği”) yayımlanmıştır.
Yapılan değişikliklere göre yükümlüler maddesinin kapsamı genişletilmiştir. Yükümlüler nezdinde yapılan işlemlerde kimlik tespiti yapma zorunluluğu için öngörülen alt sınırlar işlem tutarı ya da birbiriyle bağlantılı birden fazla işlemin toplam tutarı 20.000 TL’den 75.000 TL’ye yükseltilmiştir. Müşteriyi tanımaya yönelik iş ve meslek bilgisinin alınması ve risk skorlaması zorunlulukları getirilmiştir.
Tedbirler Yönetmeliği’ne eklenen 6/A maddesi ile gerçek kişilerde uzaktan kimlik tespiti mümkün hale gelmiştir. Buna göre yükümlünün asli faaliyet alanı ile ilgili mevzuatta müşteri ile yüz yüze gelinmeksizin kimliğinin doğrulanmasına imkân verecek yöntemlerle sözleşme kurulmasına imkan verilmiş olması halinde, gerçek kişilerle sürekli iş ilişkisi tesisinde müşteri kimliğinin doğrulanması amacıyla uzaktan kimlik tespiti yöntemleri kullanılabilecektir.
Mali Suçları Araştırma Kurulu (“MASAK”) yükümlülük denetiminin yerinde veya uzaktan denetim yöntemleri ile yapabileceği ve yükümlülük denetimi görevini bünyesinde istihdam edilen ve bu işle görevlendirilecek hazine ve maliye uzmanları vasıtasıyla yerine getirebileceği düzenlenmiştir.
2. Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine İlişkin Yükümlülüklere Uyum Programı Hakkında Yönetmelik İle Yapılan Değişiklikler
26.02.2021 tarihli, 31407 Resmi Gazete Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine İlişkin Yükümlülüklere Uyum Programı Hakkında Yönetmelik’te (“Uyum Programı Yönetmeliği”) değişiklikler yapılmıştır.
Yükümlülere ilişkin kapsam genişletilerek (i) kambiyo mevzuatında belirtilen A grubu yetkili müesseseler, (ii) finansman, faktoring ve finansal kiralama şirketleri, (iii) portföy yönetim şirketleri, (iv) kıymetli madenler aracı kuruluşları, (v) elektronik para kuruluşları ve (vi) münhasıran fatura ödemelerine aracılık hizmeti, münhasıran ödeme emri başlatma hizmeti ve münhasıran ödeme hesabına ilişkin bilgilerin sunulması hizmetini sağlayanlar hariç ödeme kuruluşları da Uyum Programı Yönetmeliği kapsamında uyum programı oluşturacak yükümlüler arasına alınmıştır.
27 Aralık 2020 tarihinde 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’a eklenen “finansal grup” tanımı bu yönetmeliğe eklenmiştir. Buna göre, merkezi Türkiye’de ya da yurt dışında bulunan bir ana kuruluşa bağlı veya bu kuruluşun kontrolünde bulunan Türkiye’de yerleşik finansal kuruluşlar ile bunların şube, acente, temsilci ve ticari vekil ve benzeri bağlı birimlerinden oluşan grup “finansal grup” olarak kabul edilebilecektir. Uyum Programı Yönetmeliği’nde finansal grubun mahiyetine ilişkin detaylı düzenlemeler yapılmıştır.
Uyum programı oluşturma yükümlülüğünün finansal gruplar için kapsamı belirlenmiştir. Ayrıca, belirli tedbirlerin iki yılda bir gözden geçirilmesi ve gerekli güncellemelerin yapılması yükümlülüğü getirilmiştir. Uyum programının finansal grup seviyesinde yürütülmesinin gözetiminde sorumluluk nihai olarak Uyum Programı Yönetmeliği’nin 6. maddesi kapsamında ana finansal kuruluşun yönetim kurulunda olduğu ifade edilmiştir.
Uyum Programı Yönetmeliği’nde belirtilen ilgili yükümlüler için uyum görevlisi atamasının yanı sıra uyum görevlisi yardımcısı atama yükümlülüğü getirilmiştir. Kurum politikası oluşturma yükümlülüğünün kapsamı genişletilmiştir. Finansal grup da kurum politikası oluşturmak ile yükümlü kılınmıştır.
3. Karayolları Motorlu Araçlar Zorunlu Mali Sorumluluk Sigortası Kapsamında Değer Kaybı Taleplerinde Sigorta Eksperi Atanmasına İlişkin Genelge ile Yapılan Değişiklikler
09/11/2021 tarihli ve 2021/10 sayılı "Karayolları Motorlu Araçlar Değer Kaybı Taleplerinde Sigorta Zorunlu Mali Sorumluluk Sigortası Kapsamında Eksperi Atanmasına İlişkin Genelge" genelge ile, hak sahibi tarafından değer kaybı talep edilmesi halinde bunun tespitinin, ilgili branşta ruhsat sahibi sigorta eksperleri tarafından yapılacağı düzenlenmiştir.
Değer kaybı talep edilen sigortacı tarafından, 25.08.2015 tarihli ve 29456 sayılı Resmi Gazete’ de yayımlanan Sigortalı Eksperleri Atama Yönetmeliği’ne göre iş tayininin adil dağılımını teminen Sigorta Bilgi Merkezi (SBM)’ de kurulan sistem üzerinden sıra esasına göre sigorta eksperi ataması yapılacağı ifade edilmiştir.
Değer kaybı eksper atamasının hak sahibi tarafından yapılması durumunda, kurulacak sistem üzerinden atama yapılabileceği gibi, burada belirtilen sıra usulü uygulanmaksızın ilgili mevzuat hükümleri uyarınca da sigorta eksperi atanmasının uygun olacağı belirtilmiştir. SBM, sigorta eksperi atama sisteminin kurulması için gerekli bilgi işlem alt yapısının tesis edeceği ve sistemin işleyişine ilişkin her türlü tedbiri alacağı yönünde değişiklikler yapılmıştır.
4. Sigortacılık ve Özel Emeklilik Sektörlerinde İç Sistemlere Dair Yönetmelik ile Yapılan Değişiklikler
25.11.2021 tarihli, 31670 sayılı Resmi Gazete’de Sigortacılık ve Özel Emeklilik Sektörlerinde İç Sistemlere Dair Yönetmelik ile yönetmelik ile sigortacılık ve özel emeklilik sektöründe faaliyet gösteren kuruluşların kurumsal yapılarının güçlendirilmesi ve sektördeki uygulamaların uluslararası sisteme entegrasyonunun sağlanması amaçlanmıştır.
Yönetmelik ile yönetim kurulunun iç sistemler açısından etkinliği gerek doğrudan gerekse denetim komitesi yapısı aracılığıyla artırılmasına yönelik düzenlemelere yer verilmiştir. Ayrıca, kuruluşların faaliyetlerinin devamlı surette takip edilmesi ve uygulamaların istenen seviyede yürütülebilmesi için profesyonel üye niteliklerine sahip denetim komitesi yapısı oluşturularak iç sistemlerin işleyişinin üst yönetim tarafından gözetiminin yapılmasına yönelik düzenlemeler yapılmıştır.
Yönetmelikte iç kontrol, risk yönetimi, aktüerya ve iç denetim fonksiyonları ile bu fonksiyonları yürütmekle görevli birim ve personele ilişkin nitelikler detaylı bir şekilde tanımlanmıştır.
Yönetmeliğe göre, bu kontrol fonksiyonlarının diğer şirket faaliyetlerinin etkisi altında kalmadan, faaliyetlerle birlikte ve bütünlük içinde gerçekleştirilmesini ve iç sistemlerden sorumlu personelin görevini menfaat çatışması olmaksızın yerine getirilmesini sağlayacak şekilde oluşturulması hedeflenmiş, buna göre düzenlemeler yapılmıştır.
Yönetimde aktüeryal gereklilikler ve siber güvenlik bakımından sigortacılığa özgü yapısı şekillerine uygun olarak bilgi sistemlerinin gereklilikleri, iş sürekliliği konuları düzenlenmiştir.
Yönetmeliğin getirdiği raporlama gereksinimleri şeffaf yönetim anlayışının gelişmesi ve kamuoyuna açık bir şekilde sektörün gözetimi ile denetiminde etkinliğin sağlanması, şeffaflığı arttıran önemli bir unsur olarak nitelendirilmektedir.
Kaynakların etkin kullanılabilmesi ve verimlilik artışı sağlanması için sigorta gruplarında ve finansal gruplarda kaynakların ortak kullanımı hedeflenmiştir.
5. Karayolları Motorlu Araçlar Zorunlu Mali Sorumluluk Sigortası Genel Şartlarında Değişiklik Yapılmasına Dair Genel Şartlarda Yapılan Değişiklik
04.12.2021 tarihli 31679 sayılı Resmi Gazete’de Karayolları Motorlu Araçlar Zorunlu Mali Sorumluluk Sigortası Genel Şartlarında Değişiklik Yapılmasına Dair Genel Şartlar yayımlanmıştır. Bu çerçevede, anılan kararlar göz önünde bulundurularak 9 Haziran 2021 tarihli ve 7327 sayılı Kanunun 18'inci ve 19'uncu maddeleriyle 2918 sayılı Karayolları Trafik Kanununun 90'ıncı ve 92’nci maddeleri değiştirilmiştir.
Değer kaybı, sürekli sakatlık ve destekten yoksun kalma tazminatlarına ilişkin değişiklikler yapılmıştır. Tebliğin 9’uncu maddesiyle Genel Şartların B2 maddesi değiştirilmiş ve trafik sigortası kapsamındaki araç hasarlarının onarımında kural olarak orijinal parça kullanımı şartı getirilmiştir. Anılan değişiklik uyarınca sadece hak sahibinin onayının alındığı veya hasar gören parçanın orijinal parça ile değiştirilmesine imkân bulunmayan hallerde hasar gören parça, eşdeğer veya yeniden kullanılabilir parça ile değiştirilebilmesi düzenlenmiştir. Benzeri biçimde değişimi gereken parçanın orijinal olmadığı hallerde de eşdeğer parça kullanımına yer verilmiştir.
Genel Şartlar’da Ek-1’de yer verilen değer kaybı hesaplaması daha detaylı hale getirilmiştir. Aynı şekilde destekten yoksun kalma tazminatı ve sakatlanma tazminatı hesaplamaları da daha detaylı hale getirilmiştir. Burada SEDDK’nın uyuşmazlıkların en aza indirilmesi ve zararın adil ve gerçekçi bir yaklaşımla hesaplanması amacına yönelik düzenlemeler yapılması hedeflenmiştir.
6. Bireysel Kredilerle Bağlantılı Sigortalar Uygulama Esasları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik
29.12.2021 tarihli 31704 sayılı Resmi Gazetede Bireysel Kredilerle Bağlantılı Sigortalar Uygulama Esasları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik yayımlanmıştır. Bu yönetmelik ile; hak sahipliği, zorunlu sigortalar, kalıcı veri saklayıcısı, sigortalılara bilgilendirme, sağlık beyanın alınması, dain-i mürtehin gibi konularda değişiklikler yapılmıştır.
B. 2022 YILINDA GERÇEKLEŞEN ÖNEMLİ MEVZUAT DEĞİŞİKLİKLERİ
1. Ticari Reklam Ve Haksız Ticari Uygulamalar Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik
01.02.2022 tarihli, 31737 sayılı Resmi Gazete’de Ticari Reklam Ve Haksız Ticari Uygulamalar Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik yayımlanmıştır. Bu değişiklik ile bir mal veya hizmete ilişkin olarak tüketicinin satın alma davranışı ve diğer kişisel verileri analiz edilerek sunulan fiyatın kişiselleştirilmiş fiyat olduğu belirtilmiş, bunun güncel fiyat ile aynı alanda yer verilmesi düzenlemesi getirilmiştir. İndirimli fiyatlara yer verilmesi halinde indirimden önceki fiyat bilgisine yer verilmesi zorunluluğu getirilmiştir. İndirimden önceki satış fiyatının tespitinde indirimin uygulandığı tarihten önceki 30 gün içinde uygulanan en düşük fiyatın esas alınacağı belirlenmiştir. Bir mal veya hizmetin bağlı kredi ile satışa sunulduğunun belirtildiği reklamlarda kredinin vadesine, faiz oranına, tüketiciye toplam maliyetinin aylık ve yıllık yüzde değerine ve geri ödeme koşullarına reklamın yayınlandığı alanlarda yer verilmesi gerektiği belirtilmiştir.
İnternet ortamında satışa sunulan bir mal veya hizmetin fiyat, nitelik ve benzeri hususlarında karşılaştırma yapılarak sıralama yapılması durumunda, sıralamanın hangi ölçütler dikkate alınarak oluşturulduğuna ilişkin bilgiye aynı alanda ya da bir bağlantı veya uyarı işareti ile tüketicilerin yönlendirilerek ayrıntılı bilgi alabileceği açılır ekranda kolayca görünebilecek şekilde olacağı düzenlenmiştir. Reklam veya sponsorluk ve benzeri anlaşmalara dayanılarak gösterilen sıralama sonuçlarında reklam ibaresine yer verilmesi zorunluluğu getirilmiştir.
C. KİŞİSEL VERİLERİN KORUNMASI KANUNU KAPSAMINDA ÖNEMLİ GELİŞME VE KARARLAR
COVID-19 PCR test sonucu ve aşı bilgisine ilişkin kamuoyu duyurusu:
Kurum, 28 Eylül 2021 tarihinde aşı bilgisi ve PCR test sonucu bilgilerinin işlenmesi ile ilgili bir kamuoyu duyurusu yayımladı. İçişleri Bakanlığı’nın insanların toplu olarak bulunduğu faaliyetlere katılım için PCR testi ve/veya aşı bilgisi verilmesi zorunluluğu getiren ve Çalışma ve Sosyal Güvenlik Bakanlığı’nın aşı yaptırmayan çalışanlardan haftada bir kez PCR testi talep edilmesini öngören yazılarına değinen Kurum, kamu kurum ve kuruluşları tarafından yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenen aşılanma ve PCR testi sonucu verilerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) istisnasını teşkil ettiğini belirtti. Bu doğrultuda, kamu kuruluşları ile özel kuruluşların İçişleri Bakanlığı’nın ve Çalışma ve Sosyal Güvenlik Bakanlığı’nın yazılarına dayanarak ve bu yazılar ile sınırlı olacak şekilde söz konusu verileri işleme faaliyetleri Kanun kapsamında değerlendirilmeyecek, buna karşılık; ilgili yazıların kapsamını aşan işleme faaliyetleri Kanun hükümlerine tabi olacaktır.
KVKK Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi:
Kişisel Verileri Koruma Kurumu (“Kurum“) 17 Eylül 2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Ge Kişisel Verileri Koruma Kurumu (“Kurum“) 17 Eylül 2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi (“Rehber“) yayımladı. Rehber, biyometrik verilerin tanımını yaparak KVKK uyarınca işleme şartlarına ve ilkelerine yer vermektedir.
Biyometrik veriler niteliği gereği veri sahibi kişilere ilişkin önemli bilgiler barındırmaktadır. Kurum, yayımladığı Rehber ile biyometrik verilerin işlenmesi konusunda veri sorumlularına ek yükümlülükler getirerek biyometrik verilerin işlenmesinde veri korumasının ve güvenliğinin sağlanmasını amaçlamaktadır. Biyometrik veri işleme faaliyeti gerçekleştirecek veri sorumlularının Rehber’de belirtilen ilke ve tedbirlere uyum sağlayarak işleme faaliyetlerini gerçekleştirmesi gerekmektedir.
Karar – Anlık mesajlaşma uygulaması hakkında yaptırım kararı:
Kişisel Verileri Koruma Kurulu (“Kurul”), bir anlık mesajlaşma uygulamasının (“Uygulama”) hizmet koşulları ve gizlilik ilkesini verdiği hizmetin ön şartı olarak güncellediğini tespit etti. Kurul, (i) yurt dışına veri aktarımı, (ii) hizmetin açık rıza şartına bağlanması ve (iii) genel ilkelere uygunluk hususları başta olmak üzere Uygulama hakkında re’sen inceleme başlattı. Kurul, 3 Eylül 2021 tarihli ve 2021/891 sayılı kararı ile: y hizmet koşulları sözleşmesi aracılığıyla kişisel verilerin işlenmesine ve yurt dışına aktarılmasına ilişkin tek bir açık rıza alınmasının, açık rızanın “özgür iradeyle açıklanması” unsurunu zedelediğini; y hizmet koşulları ve gizlilik ilkesindeki ifadelerin müzakereye kapalı nitelikte sunularak uygulamanın kullanılmasının aktarım şartına bağlanmasının Kanun’un 4. maddesinde yer alan “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık olduğunu; y Kanun’un 4. maddesinde yer alan “belirli, açık ve meşru amaçlar için islenme” ve “islendikleri amaçla bağlantılı, sinirli ve ölçülü olma” ilkelerine aykırı hareket edildiğini; y veri sorumlusunun sunucuları Türkiye’de bulunmadığı sürece, Türkiye’de bulunan kişilerden elde edilen kişisel verilere ilişkin her türlü işleme faaliyetinin, kişisel verilerin yurt dışına aktarımı anlamına geldiği ve söz konusu aktarımın, Kanun’un 9. maddesine uygun olarak yapılmadığını; ve y profilleme amacıyla kullanılan çerezler bakımından ilgili kişilerden açık rıza alınmamasının hukuka uygun olmadığını Bu doğrultuda Kurul, (i) veri sorumlusuna gerekli teknik ve idari tedbirleri almaması sebebiyle 1.950.000 TL idari para cezası uygulanmasına, (ii) veri sorumlusunun hizmet koşulları ve gizlilik ilkesi metinlerini 3 ay içinde Kanun’a uygun hale getirmesine ve (iii) veri sorumlusunun Kanun’un 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine uygun bir aydınlatma yapmasına karar verdi.
Diğer Kararlar:
Bir sigorta şirketinin veri ihlali bildirimi hakkında verilen kararda Kurul, veri sorumlusunun Kişisel Veri Güvenliği Rehberi’ne uymadığı ve veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri almadığı gerekçeleriyle 30.000 TL idari para cezasının uygulanmasına karar verdi. Ceza tutarı, ihlale sebep olan hatanın istisnai bir durum olması ve veri sorumlusunun ekonomik durumu nedeniyle düşük tutuldu.
Bir sigorta şirketinin veri ihlali bildirimi hakkında verilen kararda Kurul, etkilenen veriler arasında sağlık verisinin bulunmasına rağmen ihlalden 1 kişinin etkilenmesi ve veri sorumlusunun kısa zamanda Kurum’u bilgilendirdiğini dikkate alarak, yapılacak bir işlem olmadığına karar verdi.
Bir bankanın veri ihlali bildirimi hakkında verilen kararda Kurul, veri sorumlusunun ihlal öncesinde (i) personelin KKB sorgularının sınırlandırmadığı, (ii) yeterli denetim ve gözetimi yapmadığı, (iii) Kişisel Verilerin Korunması Kanunu eğitiminin yeterli olmadığı gerekçeleriyle veri güvenliğini sağlamak için gerekli teknik ve idari tedbirlerin alınmamasına dayanarak 200.000 TL idari para cezası uyguladı.
Bir sigorta şirketinin veri ihlali bildirimi hakkında verilen kararda Kurul, veri sorumlusunun veri güvenliğini sağlamak için gerekli teknik tedbirleri almadığını tespit ederek 90.000 TL idari para cezası uyguladı. 2020/357 sayılı 7 Mayıs 2020 tarihli karara buradan ulaşabilirsiniz. y Bir bankanın veri ihlali bildirimi hakkında verilen kararda Kurul, (i) veri sorumlusunun kontrol mekanizmasının yeterli düzeyde olmadığını, (ii) söz konusu hataların test aşamasında tespit edilerek değişikliklerin yayına alınmadan önce düzeltilmesi gerektiğini vurgulayarak Kanun’un 12/1 maddesi uyarınca gerekli teknik ve idari tedbirlerin alınmaması nedeniyle 75.000 TL idari para cezası uyguladı.