Geçtiğimiz hafta, Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanunteklifi Türkiye Büyük Millet Meclisi Adalet Komisyonuna sunuldu. Kanun teklifi,6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) ile ilgili de önemli değişiklik önerileri içermektedir. Söz konusu değişiklik önerilerinin ele aldığı hususlar, uzun zamandır Kanunun uygulanmasında yaşanan zorluklara ilişkin olarak doktrinde ve uygulamada tartışılmaktaydı. Teklifin Meclis'ten olduğu gibi geçmesidurumunda getirilecek olan değişikliklere aşağıda kısaca yer vermekteyiz:

Özel nitelikli kişisel verilerin işlenme şartlarına yönelik değişiklik önerisi (KVKK Madde 6)

Özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen KVKK madde 6, mevcut haliyle sağlık ve cinsel hayat dışındaki kişisel verilerin işlenmesini kanunlarda öngörülme veya kişinin açık rızasının bulunması şartına bağlamaktadır. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ilgili kişinin açık rızası dışında kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlıkhizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum vekuruluşlar tarafından işlenebilmektedir. Değişiklik önerileri ile, uygulamadaki ihtiyaçlar ve Avrupa Birliği Genel Veri Koruma Tüzüğünün yaklaşımı gözetilerek, değişiklik önerisi ile özel nitelikli kişisel verilerin işlenme şartlarının kapsamının genişletilmesi öngörülmektedir.

Öncelikle, maddede kural olarak yer alan özel nitelikli kişisel verilerin ilgili kişinin açık rızası dışında işlenmesinin yasaklanması hükmü korunmaktadır. Bununla birlikte, özel nitelikli kişisel verilerin açık rıza dışında işlenebileceği hallerde genişlemeye gidilmektedir. Buna göre, aşağıdaki şartlar altında açık rıza olmaksızın özel nitelikli kişisel veriler işlenebilecektir:

  • Kanunlarda açıkça öngörülen hallerde. (Örneğin, Adli Sicil Kanunu, Polis Vazife ve Salahiyeti Kanunu)
  • Fiili imkânsızlık hali nedeniyle açık rızanın açıklanamayacak olması veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması hallerinde. (Örneğin, bilinç kaybı nedeniyle rızasını açıklayamayan kişinin hayatının veya beden bütünlüğünün korunması için kan grubu veya hastalıklarına yönelik verilerin işlenmesi)
  • Özel nitelikli kişisel verilerin ilgili kişi tarafından alenileştirildiği hallerde, alenileştirilme amacına uygun olarak işlenmesi kaydıyla. (Örneğin, acil durumlar için kullanılmak üzere herkesçe erişilebilir alanlarda kan grubu bilgisinin paylaşılması ve bunun paylaşılmaamacına uygun olarak işlenmesi)
  • Bir hakkın tesisi, kullanılması veya korunması için zorlu olan hallerde. (Örneğin, iş sözleşmesinden sonra muhtemel davalarda savunmahakkının kullanılabilmesi amacıyla eski çalışanın sağlık verilerinin saklanması.)
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorlu olduğu hallerde (Örneğin, İş Kanunu kapsamında işverenlerin engelli veya hükümlü çalıştırma yükümlülüğü uyarınca sağlık ve ceza mahkumiyetine ilişkin verileri işlemesi.)
  • Siyasi, felsefi, dini ve sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluşun/oluşumun mevcut veya eski üyeleri ve kuruluş/oluşum ile sürekli olarak temas halindeki kişilerin özel nitelikli kişisel verilerini kuruluş amacına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı olarak işlediği hallerde, üçüncü kişilere aktarmamak kaydıyla (Örneğin, mevcut veya eski üyelerile bağış toplamak için temas kurulması).

Özel nitelikli kişisel verilerin işlemesine yönelik olarak “Kişisel Verileri Koruma Kurulu'nun belirlediği yeterli önlemlerin alınması”na ilişkinhükümler ise korunmaktadır.

Kişisel verilerin yurt dışına aktarılmasına yönelik değişiklik önerisi (KVKK Madde 9)

Kişisel verilerin yurtdışına aktarılmasına ilişkin şartları düzenleyen KVKK madde dokuzun mevcut halinde kişisel veriler, kural olarak, ilgili kişilerin açık rızası ile yurtdışına aktarılmaktadır. Öte yandan, şayet Kanunun beşinci maddesinin ikinci fıkrasındaki veya altıncı maddesininüçüncü fıkrasındaki şartlardan biri mevcutsa ve Kişisel Verileri Koruma Kurulu tarafından kişisel verilerinin aktarılacağı ülke hakkında yeterli koruma sağlandığına ilişkin karar verilmişse, kişisel veriler yurt dışına açık rıza olmaksızın aktarılabilmektedir. Bununla birlikte, hakkında yeterlilik kararı olmayan bir ülkeye yapılacak aktarımda, Türkiye'deki ve aktarım yapılacak ülkedeki veri sorumlularının imzaladıklarıtaahhütname ile yeterli korumayı garanti etmesi ve Kurul'un bu taahhütnameye onay vermesi halinde de açık rıza olmaksızın kişisel veriler yurtdışına aktarılabilmektedir.

Maddenin değişiklik gerekçesinde, yurt dışına kişisel veri aktarımında yaşanan zorluklar, özellikle aktarımın kişinin açık rızasına bağlı hale gelmesinin uygulamada iş akışı ve yönetiminde büyük sorunlara yol açması, çoğu yurt dışında bulunan bulut tabanlı uygulamaların kullanımının kısıtlanması ve ülkeye yapılacak yatırımların olumsuz etkilenmesi sebepleri vurgulanmaktadır. Bu doğrultuda, Avrupa BirliğiGenel Veri Koruma Tüzüğünün yaklaşımı dikkate alınarak maddede değişiklikler öngörülmektedir. Buna göre, kişisel verilerin açık rıza dışında yurt dışına aktarılabilmesi için aşağıdaki şartların karşılanması gerekecektir:

  • Kanunun beşinci maddesinin ikinci fıkrasındaki veya altıncı maddesinin üçüncü fıkrasındaki şartlardan birinin mevcut olması ve kişisel verinin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı verilmiş olması,
  • Yeterlilik kararı olmayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörlere kişisel veri aktarımında ise, Kanunun beşincimaddesinin ikinci fıkrasındaki veya altıncı maddesinin üçüncü fıkrasındaki şartlardan birinin mevcut olması ve ilgili kişinin haklarınıkullanma ve etkili kanun yollarına başvurma imkanının sağlanması şartıyla, uygun güvencelerden birinin sağlanması.

Uygun güvencelerin neler olacağıda değişiklik önerisinde sıralanmaktadır. Buna göre, aşağıdaki durumlardan birinin varlığı halinde uygungüvencelerin sağlandığı kabul edilecektir:

  • Karşılıklı yapılacak faaliyetlerin gerektirdiği kişisel verilerin aktarımında, yurtdışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğinde mesleki kuruluşları arasındaki uluslararası sözleşmeniteliğinde olmayan anlaşmaların varlığı ve Kurul'un izninin olması,
  • Grup şirketleri arasında yapılacak yurt dışı aktarımı bakımından Kanunun beşinci maddesinin ikinci fıkrasındaki veya altıncı maddesinin üçüncü fıkrasındaki şartlardan biri mevcut olması ve Kurul'un onayladığı başlayıcı şirket kurallarının olması,
  • Kurul tarafından ilan edilen standart sözleşmenin imzalanması ve beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kurul'a bildirilmesi (Veri sorumlusu veya veri işleyeninin bildirimi yerine getirmemesi halinde yine değişiklik önerileri içerisinde yer alan birmadde ile idari para cezası uygulanması öngörülmektedir.)
  • Yeterli korumanın yer aldığı taahhütnamenin imzalanması ve Kurul'un izninin alınması.

Şayet kişisel verilerin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı yoksa ve yukarı sayılangüvencelerden biri de sağlanamamışsa, istisnai durumlarda, süreklilik arz etmeyen (arızi) şekilde yurt dışına kişisel veri aktarımı yapılabilmeside değişiklik ile öngörülmektedir. Örneğin, Türkiye'deki bir şirketin yurt dışındaki potansiyel olarak ticari ilişki içinde olacağı bir şirkete irtibatiçin çalışanlarının kişisel verisini aktarması.

Değişiklik teklifi, yeterli koruma kararı alınmasının usulünü de öngörmektedir. Bu kapsamda, Kurul'un yeterlilik kararını verirken dikkate alacağı ölçütlere detaylı biçimde yer verilmektedir. Ancak bu ölçütler sınırlı sayıda olmayıp Kurul gerekli gördüğü başka hususları da dikkate alabilecektir. Kurul yeterlilik kararını dört yılda bir değerlendirecektir. Değerlendirmeleri sonucunda yeterlilik kararını değiştirebilir,kaldırabilir veya askıya alabilir. Kurul dört yıllık süre dolmadan da yeterlilik kararını gözden geçirebilir. Öte yandan dört yıllık sürenin dolmasına rağmen yeterlilik kararı yeniden değerlendirilmediği takdirde karar geçerliliğini koruyacaktır. Kurul aynı zamanda ihtiyaç duyması halindeilgili kurum ve kuruluşlardan yeterlilik kararını belirlerken görüş alabilecektir.

Değişiklik teklifi, ayrıca madde dokuz bakımından geçici bir madde de önermektedir. Bu kapsamda, madde dokuzun birinci fıkrasının mevcuthükmü (Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına

aktarılamaz) ile maddede yapılan değişiklik hükümlerinin üç ay  süre ile birlikte uygulanması söz konusudur. Görülen o ki, bu geçici hüküm ile değişikliğe uyum sürecinde önceki “açık rıza” uygulaması bakımından bir karmaşıklığa yol açılmaması amaçlanmaktadır.

Son olarak, Kanunun mevcut haliyle Kurul'un verdiği idari para cezalarına karşı itirazlar sulh ceza hakimliklerine yapılabilirken, değişiklik teklifi ile bu konuda idare mahkemelerine dava açılması yolu öngörülmektedir. Böylece sulh ceza hakimliklerinin yapısal sorun teşkil eden veyetersiz incelemeye dayanan kararlarının yerini idari yargı alacak ve temel haklara ilişkin verilecek kişisel verilerin korunması kararlarıbakımından usulî güvencelerin artırılması söz konusu olacaktır.

Gözler Türkiye Büyük Millet Meclisi'ndeyken…

KVKK'nın yürürlüğe girmesinden bu yana, sorunlu yapısı dolayısıyla uygulamada uyumluluğun sağlanmasına yönelik yarattığı zorluklar dilegetirilmekteydi. Uzun zamandır beklenen, Kanunda değişiklik yapılmasıyla ilgili çalışmaların nihayete erdirilmesi umut verici olsa da öncelikleözel nitelikli kişisel verilerin dolaşımının bu denli kolaylaştırılması kişisel verilerin korunmasının içselleştirilmediği ortamlarda bireyler için büyük tehditler yaratabilecektir. Zira özel nitelikli kişisel verilerin öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler olduğu unutulmamalıdır.

Aynı doğrultuda, yurtdışına kişisel veri aktarımı önündeki zorlukların kaldırılması pek çok sektör açısından önemli bir adım olacaktır. Ancak buzamana kadar açık rıza dışındaki yurtdışına aktarım şartlarının uygulanamaz hale gelmesi veya güçlülükle uygulanabilmesindeki sebepler degöz önünde bulundurulmalıdır. Buna istinaden, yukarıda detayları belirtilen olası değişikliğin hayata geçmesi halinde, Kurul tarafındanivedilikle yeterli koruma sağlayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında kararların yayınlaması ve uygun güvenceler arasında sayılan standart sözleşmenin duyurulması, faaliyetleri kapsamında yurt dışına kişisel veri aktarımı yapan aktörler içinönem arz edecektir.

Tüm bunlara paralel olarak, özel nitelikli kişisel verilerin işlenmesinde ve kişisel verilerin yurt dışına aktarılmasında koşul ve güvencelerin bu denli gevşetilmesi, Kanuna uyumun sağlanması ve temel hakların korunması bakımından Kişisel Verileri Koruma Kurumu'nun üzerindeki yükü ve sorumluluğu şüphesiz artıracaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.