1. Giriş

Uzun zamandır beklenen Kişisel Verilerin Korunması Kanunundaki değişiklikler 12.03.2024 tarihinde Resmi Gazete'de yayınlanarak yasalaştı. Türk Veri Koruma hukukunda özellikle verilerin yurtdışına aktarımları konusunda yeni bir anlayışın geldiğini ve önemli değişikliklerin yapıldığını ifade edebiliriz. Kanunun çıkmasından sonra GDPR'ın da yürürlüğe girmesi ile beraber uzun yıllardır konuşulan KVKK'nın GDPR ile uyumu konusunda bir eşik atlandığından bahsedebiliriz. Daha köklü bir değişiklik planlanmakla beraber, bu değişikliklerin de veri koruma alanında önemli farklılıklar yaratacağını söyleyebiliriz. Kanun koyucu 3 ana başlıkta değişiklikler yaptı. Birincisi, iş hayatında özellikle ortaya çıkan problemlerden dolayı özel nitelikli verilerin işlenmesi konusu, ikincisi, yurtdışına veri aktarımları ve son olarak da çokça eleştirilen yargı yolu konularında köklü değişiklikler yapıldığını söyleyebiliriz.

  1. Özel Nitelikli Kişisel Veriler Konusunda Değişiklikler

Kanunun ilk düzenlemesinde özel nitelikli kişisel verilerin işlenmesinde açık rızayı ön plana çıkaran bir anlayış söz konusu idi. Özellikle sağlık ve cinsel hayata dair verilerin Kanunda tanımlanan özel kişiler dışında ve belirlenen amaçlar haricinde işlenmesi "açık rıza" olmadan neredeyse mümkün değildi. Bu düzenleme de özellikle iş hayatında çalışan-işveren ilişkisinde, sigorta şirketi – sigortalı ilişkilerinde hayatın olağan akışına aykırı açık rıza alınması süreçleri yaratmakta idi. Bu değişiklik ile GDPR 9 (2) (b) ve (d) maddeleri aynı şekilde Kanuna geçmiştir.

Kanunun önceki halinde özel nitelikli kişisel veri işleme şartları "açık rıza", "sağlık ve cinsel hayata ilişkin veriler dışında kanunlarda yer alma" ve sağlık ve cinsel hayata ilişkin veriler bakımından "sır saklama yükümlülüğü altında olan kişilerin Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla işlemesi mümkün iken, değişiklik ile beraber, KVKK'nın 5. Maddesinde de hukuka uygun işleme şartlarından olan;

  • fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuken geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması,
  • alenileştirme,
  • bir hakkın tesisi kullanılması veya korunması için zorunlu olması,

getirilmiştir.

Bunun yanında, ek olarak, yukarıda da bahsettiğimiz üzere iki yeni madde getirilmiştir. Bu maddeler ise;

  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  • Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlar kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla kuruluş ve oluşumlarla düzenli olarak temas halinde olan kişilerin özel nitelikli kişisel verileri,

Özel nitelikli kişisel veri işleme şartı olarak düzenlenmiştir. Bu durum pratikte daha önceden yapılmış birçok sürecin yeniden ele alınmasına ve yeni yasa ile beraber uyumlaştırılmasına da yol açacaktır. Böylece veri sorumlularının envanterlerinde, aydınlatma metinlerinde ve açık rıza metinlerinde muhtemel revizyonlar yapılması gündeme gelecektir.

  1. Yurtdışına Veri Aktarımı

Türkiye'de birçok firmanın yurt dışı ortaklıkları bulunmakta veya yurtdışı ile iş yapmaktadır. Firmalar bunun yanında yurt dışı kaynaklı yazılımlar kullanmakta veya günümüzün bulut teknolojileri gibi sistemlerin kullanılmasında, veri aktarımları oldukça fazla yer almaktadır. KVKK'nın mevcut halinde kişisel verilerin yurtdışına aktarılması için çok sınırlı sebepler bulunmaktadır. Mevcut durumda kişisel verilerin yurtdışına aktarılması için, ilgili kişilerin açık rızası ana aktarım şartı olarak görülürken, KVKK'nın 5. Veya 6.maddesinde yer alan şartlardan birinin varlığı halinde ise, aktarılacak ülkede yeterli korumanın ("Yeterli Korumanın bulunduğu ülkeler Kurum tarafından ilan edilir") bulunması ve yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve bu taahhüde Kurulun izin vermesi aktarım sebepleri olarak öngörülmüştür. Kanunun yürürlüğe girdiği 2016 yılından günümüze kadar Kurum tarafından yeterli korumanın bulunduğu ülkeler ilan edilmemiş olup, yazılı taahhüde ilişkin de sınırlı sayıda sözleşme Kurum onayından geçmiştir. Bunlardan dolayı genelde veri sorumluları yurt dışı aktarımlarında "açık rıza"ya dayanmaktadır. Ancak uygulama anlamında açık rızanın yurt dışına aktarımlar açısından kullanılmasının ne kadar sağlıklı olabileceği tartışmalıdır. Bu açıdan Kurum bu sıkıntıyı anlamış ve "açık rıza"yı arızi bir aktarım şartı haline de getirmiştir.

Bu açıklamaların ışığında yapılan değişiklikleri özetlemek gerekirse;

Açık rıza ana aktarım sebebi olarak kaldırılırken yeni bir terim olan yeterlilik kararı mevzuatımıza girmiş ve bunun yanında radikal bir değişiklik olarak veri sorumlularının yanında veri işleyenlere de aktarım imkanı getirilmiştir. Buna göre;

3.1 Yeterlilik Kararı

  • Kişisel verilerin yurt dışına aktarılabilmesi için kural olarak, Kanunun 5 inci ve 6 ncı maddelerindeki veri işleme şartlarından birinin varlığı ve kişisel verilerin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı verilmiş olması gerekmektedir. Yeterlilik kararının nasıl alınacağı usulü düzenlenmiştir.
  • Yeterlilik kararı alınırken dikkate alınacak kriterleri sıralamak gerekirse;

a. Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.

b. Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar

c. Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.

d. Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.

e. Türkiye'nin taraf olduğu uluslararası sözleşmeler

Kurum tarafından yeterlilik kararı açısından belirlenecek kriterlerdir. Yeterlilik Kararı Kanunun güncel halinde bulunan yeterli korumaya benzer bir yapıda seyretmektedir.

3.2 Uygun Güvence

Hakkında yeterlilik karan bulunmayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörlere, 5. ve 6. maddelerdeki veri işleme şartlarından birinin varlığı halinde, aktarımın yapılacağı ülkede de ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla, fıkrada bentler halinde sayılan "uygun güvencelerden" birinin sağlanması durumunda kişisel veri aktarılması mümkün olacaktır. Uygun güvence şartlarını sıralamak gerekirse;

a. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurulun aktarıma izin vermesiyle yurtdışına veri aktarılması mümkün olabilecektir.

b. Aynı teşebbüs grubundaki şirketlerin uymakla yükümlü oldukları ve kişisel verilerin korunmasına ilişkin hükümler ihtiva eden Kurulun onayladığı bağlayıcı şirket kurallarının varlığı halinde, 5. ve 6. maddedeki veri işleme şartlarından birinin bulunması kaydıyla, Kuruldan ayrıca izin almaya gerek olmadan bu şirketler arasında veri aktarımı yapılabilecektir.

c. Kurul tarafından ilan edilen standart sözleşmenin imzalanması suretiyle ayrıca bir izne ihtiyaç olmaksızın veri aktarılması mümkün olabilecektir. Standart sözleşme; veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içerecektir. Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kişisel Verileri Koruma Kurumuna bildirilecektir.

d. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi durumunda da yeterlilik kararı bulunmayan bir ülkeye kişisel veri aktarılabilecektir.

Uygun güvencelere ilişkin olarak standart sözleşmelerin imzalanmasından itibaren 5 gün içinde bu durumun Kuruma bildirilmesi gerekmektedir. Aksi takdirde Kanun kapsamında yeni bir kabahat da öngörülmüştür. İmzalanacak standart sözleşmenin Kuruma bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasına hükmedileceğine ilişkin düzenleme eklenmiştir. Bu idari para cezasının veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı düzenlenmiştir. Kanun kapsamında ilk defa veri işleyenler hakkında bir idari para cezası öngörülmüştür. Tarafımızca standart sözleşmenin en çok kullanılacak olan veri aktarım yöntemi olacağı düşünülmektedir.

3.3 Arızi Aktarımlar

Yeterlilik kararı bulunmayıp ve dördüncü fıkrada öngörülen uygun güvencelerden birinin sağlanamadığı bazı istisnai durumlarda; arızi olmak kaydıyla, diğer bir ifadeyle tek veya birkaç sefer ve süreklilik taşımayacak şekilde, yurt dışına veri aktarılmasına imkân sağlanmaktadır. (Örneğin; Türkiye'deki bir şirketin yurt dışında bulunan bir şirketle arızi olarak gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat halinde olacak çalışanlarına ilişkin bilgileri paylaşması) Bu aktarım için;

a. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi

b. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

c. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

d. Aktarımın üstün bir kamu yararı için zorunlu olması.

e. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

f. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

g. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Şartlarından birinin varlığı halinde bir ilgili duruma mahsus olarak aktarım yapılabilecektir. Bu durumun süreklilik arz etmeyeceğini ve yapılacak iş bazında olması gerektiğini belirtmek isteriz. Görüldüğü üzere açık rıza'ya dayalı yurtdışına veri aktarımı çok kısıtlı bir alana indirgenmiştir. Kurumun yurtdışına veri aktarımı konusunda ikincil bir mevzuat yapacağı tarafımızca öngörülmekte olup, standart sözleşmelerin çıkarılması ve Kurumun yapacağı ikincil mevzuat sonrası sürecin değerlendirilmesi daha sağlıklı olacaktır.

  1. Diğer Hükümler ve Yürürlük Tarihleri

Kişisel Verileri Koruma Kurulu tarafından verilen kararlara karşı yargı yolu hali hazırda Kabahatlar Kanununa yapılan atıf ile Sulh Ceza Hakimlikleriydi. Hakimliklerin gerekçesiz kararlar vermesi, KVKK anlamında yeterince bilgi sahibi olmamaları, itiraz ve temyiz mercilerinin kısıtlı olması ve sağlıklı bir yargılamanın yapılamaması çokça eleştiri konusu oluyordu. Bu sebeple isabetli bir düzenleme ile Kurul kararlarına karşı yargı yolu İdari Yargılamaya geçirilmiştir. Rekabet hukukunda olduğu gibi, hukukun bu dalında, daha nitelikli bir uzmanlaşma alanı yaratı1acağı öngörülmektedir.

Yürürlük bakımından 1/6/2024 tarihi itibarıyla Sulh Ceza Hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam edecek ve karara bağlanacaktır. 9. maddede yapılan değişikliklerin yürürlüğe girmesinden sonra yaşanabilecek aksaklıklar dikkate alınarak, maddenin birinci fıkrasının değişiklikten önceki hükümlerinin maddede yapılan değişiklikle beraber üç ay daha (1/9/2024 tarihine kadar) uygulanması düzenlenmiştir. Kanun değişikliğinin yürürlüğe girmesinden önce alınmış veya sonra alınacak açık rızaya dayalı olarak Kanun değişikliğinin yürürlüğe girmesinden itibaren üç ay daha yurt dışına veri aktarılmasına imkân tanınmaktadır. Bütün bu değişiklikler 01.06.2024 tarihi itibari ile yürürlükte olacaktır.

  1. Sonuç

KVKK 2.0 diyebileceğimiz değişiklikler söz konusu olup, veri sorumluları süreçlerinde yeni uygulamalar ile karşılaşacağımız bir döneme giriyoruz. Bu sebeple uygulamalarda muhtemel yapılacak değişiklikler bakımından; kişisel veri envanterlerinin güncellenmesi, aydınlatma ve rıza süreçlerinin yeniden ele alınması ve idari bakımdan veri aktarımları için ilgili süreçlerin tamamlanması veri sorumluları bakımından gerekli süreçler olup, bu konuda bir iş yükü ile karşılaşmamız olasılıklar dahilindedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.