KVKK Değişikliği ve Adım Adım GDPR
Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (“Teklif”) hazırlanarak 16 Şubat 2024 tarihinde komisyona sunulmuş ve 12.03.2024 tarihinde Resmi Gazete’de değişiklik kabul edilmiştir.
Değişiklik veri koruma hukuku (“KVK”) bakımından uzun zamandır beklenen ve uygulamada da sorunlara yol açan birtakım hususlara çözüm getirecek gibi görünmektedir. Zira Teklif’in KVK’ye ilişkin maddeleri, 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngördüğü değişikliklerle yasal mevzuatı, AB Genel Veri Koruma Tüzüğü’ne (“General Data Protection Regulation” veya “GDPR”) uyumlu hale getirmek adına önemli değişiklikler öngörmektedir.
Değişiklik kapsamında özel nitelikli kişisel verilerin işlenmesi (KVKK md. 6), kişisel verilerin yurtdışına aktarımı (KVKK md. 9), idari yaptırım, itiraz ve başvuru yolları (KVKK md. 18) konularında değişiklik öngörülmekte ve değişikliklerin uygulanmasına yönelik geçiş sürecine ilişkin bir ek madde ihdas edilmesi öngörülmektedir.
Özel Nitelikli Kişisel Verilerin İşlenmesi
Özel nitelikli kişisel verilerin işlenmesine ilişkin usul KVKK madde 6’ da düzenlenmiştir. Özel nitelikli kişisel verilerin işlenmesine ilişkin usul ve esasların GDPR doğrultusunda değiştirilmesi öngörülmektedir. Mevcut durum ve öngörülen değişiklik aşağıda işlenecektir.
Değişiklik Öncesi Durum
Halihazırda istisnai iki durum haricinde özel nitelikli kişisel veriler yalnızca ilgilinin açık rızası halinde işlenebilmektedir. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler yalnızca kanunun öngördüğü hallerde açık rıza aranmaksızın işlenebilirken; sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise yalnızca yetkili sağlık kuruluşları ve SGK tarafından ve sağlık sebepleri ile bağlantılı olarak ilgilinin açık rızası aranmaksızın işlenebilmektedir.
Değişiklik Sonrası Durum
Değişiklik ile ana kural ve istisna düzenlemesinin tamamıyla değiştirilmesini öngörmektedir. Değişiklik kapsamında ana kural “özel nitelikli kişisel verilerin işlenmesi yasaktır” şeklinde belirlenmiş ve devamında özel nitelikli kişisel verilerin işlenebileceği haller tahdidi (sınırlı sayıda) olmak üzere 8 bent halinde sayılmıştır. Özel nitelikli kişisel verilerin işlenebileceğinin öngörüldüğü sınırlı haller aşağıdadır:
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d)Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
Getirilen düzenleme KVKK’yi GDPR’ye uyumlu hale getirme noktasında işlevsel gözükmekte ve özel nitelikli verilen işlenmesine ilişkin kapsamı genişleterek uygulamada karşılaşılan sorunlara çözüm getirme kabiliyetini haiz olacak gibi görünmektedir.
Kişisel Verilerin Yurtdışına Aktarılması
Kişisel verilerin yurtdışına aktarılmasına ilişkin usul KVKK madde 9’ da düzenlenmiştir. Değişiklik ile usul ve esasların GDPR doğrultusunda değiştirilmesi öngörülmektedir. Mevcut durum ve öngörülen değişiklik aşağıda işlenecektir.
Önceki Dönem
Halihazırda istisnai birtakım şartlar haricinde kişisel verilen yurtdışına aktarılması bakımından ilgilinin açık rızasının alınması gerekmektedir. İstisnai durumlarda ise KVVK md. 5/2 ve 6/3’te düzenlenen şartların bulunması ve Kurul tarafından verilmiş olan, kişisel verilen aktarılacağı ülkenin yeterliliği olduğuna ilişkin, kararı olması gerekmektedir. Yeterlilik kararı bulunmayan ülkelere kişisel verinin aktarılabilmesi için ise yukarıdaki şartların varlığının yanı sıra Türkiye ve verilerin aktarılacağı ülkedeki veri sorumlularının yeterli korumaya ilişkin taahhütnamesi ve Kurul’un izin vermesi gerekmektedir.
Uygulamaya bakıldığında ise Kurul’un taahhütnamelere ilişkin izin verdiğine pek rastlanmamaktadır. Dolayısıyla kişisel verilerin yurtdışına aktarımı ilgilinin açık rızasına bağlı hale gelmiştir. Bu da giderek dijitalleşen ve küreselleşen dünyada birtakım uygulama problemlerine yol açmaktadır. Bu sebeple GDPR’yi takiben aşağıda yer verilecek olan değişiklik teklifi gerçekleştirilmiştir.
Yeni Dönem
Kişisel verilerin açık rıza olmaksızın yurtdışına aktarılamayacağına ilişkin 1. fıkranın tamamen değiştirilmesi öngörülmektedir. Değişiklik doğrultusunda kurul tarafından verilecek olan yeterlilik kararına büyük önem verildiği görülmektedir. Zira eski halinde açık rıza alınmasını öngören ilk fıkranın:
“(1) Kişisel veriler, 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.”
Şeklinde değiştirilmesi değişiklik edilmiştir. Yeterlilik kararının ve KVKK madde 5 ve 6’da öngörülen şartların varlığı halinde açık rıza olmaksızın yurtdışına veri aktarımı mümkün olacaktır. Ayrıca önemli bir yenilik de yeterlilik kararının sektör veya kuruluş bazlı da verilebileceği düzenlemesidir. Örneğin, X ülkesinde otomotiv sektörüne ilişkin yeterlilik kararı verildiğinde ve veri işleme şartlarının varlığı halinde açık rıza olmaksızın yurtdışına veri aktarımı yapılabilecektir.
Yeterlilik kararının verilmesi usulü ve kurulun yeterlilik kararını alırken göz önünde bulunduracağı kriterler de Değişiklik ile öngörülen 2 ve 3. fıkrada düzenlenmektedir. Ancak kurulun göz önünde bulunduracağı kriterlerin tahdidi olmadığını ve dolayısıyla kurula inceleyeceği kriterlere yönelik takdir alanı bırakıldığını belirtmekte fayda vardır. Değişiklik yapılan 2 ve 3. fıkralar aşağıdadır:
(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(3) Yeterlilik karan verilirken öncelikle aşağıdaki hususlar dikkate alımr:
a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b)Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Yeterlilik Kararının Bulunmadığı Haller ve Uygun Güvenceler
Değişiklik, yeterlilik kararı bulunmasa dahi “ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması” kaydıyla ve fıkrada sayılan güvencelerden birinin sağlanması şartıyla yurtdışına veri aktarımını mümkün kılmaktadır. Buna ilişkin 4. fıkra aşağıdadır.
(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları,veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Standart Sözleşme
2.2.2 numaralı başlıkta yer verilen 4. Fıkranın c bendinde kurul tarafından ilan edilecek “standart sözleşme” düzenlemesi göze çarpmaktadır. Bu sözleşmenin imzalanması suretiyle ayrıca bir izin alınmaksızın yurtdışına veri aktarımı yapılabilmesi öngörülmektedir.
Ayrıca imzalanan standart sözleşmesin veri sorumlusu veya veri işleyen tarafından imza tarihinden itibaren 5 iş günü içinde Kurum’a bildirilmesi öngörülmektedir. Yazımızın devamında yer vereceğimiz üzere bu bildirim yükümlülüğüne uyulmaması hali ise yaptırıma (idari para cezası) tabi tutulmuştur (bknz; 3.1).
Yeterlilik Kararı ve Uygun Güvencelerin Bulunmadığı Haller
Teklif’in 6. fıkrasında 2.2.1 ve 2.2.2. başlık altında yer verdiğimiz şartların hiçbirinin sağlanmaması halinde dahi arızi ve istisnai olarak belli hallerde yurtdışına veri aktarılabileceği öngörülmektedir. Değişikliğin fıkrası aşağıdadır:
(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın,ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Yurtdışına Veri Aktarımına İlişkin Diğer Düzenlemeler
Değişikliğin yurtdışına veri aktarımına ilişkin madde önerisinin uygulama kapsamı ve işbu konunun yönetmelik ile düzleneceğine ilişkin düzenlemelere yer verilmiştir:
(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonrakiaktarımlarıveuluslararasıkuruluşlaraaktarımlarbakımındandabuKanundayeralan güvenceler sağlanır ve bu madde hükümleri uygulanır.
(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
Yeni Kabahat Düzenlemesi ve İdari Yargı Yolunun Açılması
Yeni Kabahat ve İdari Yaptırım
Değişiklik KVKK’nin Kabahatler ve idari yaptırımlarının düzenlendiği 18. maddesinde değişiklik öngörmektedir. Değişiklik, yazımızın 2.2.3 numaralı başlığı altında yer verdiğimiz “standart sözleşmenin kuruma bildirilmesi” yükümlülüğüne ilişkin olup yükümlülüğe uyulmamasını idari para cezasına tabi tutmaktadır.
“d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar”
Ayrıca aynı maddenin ikinci fıkrasına eklenmesi teklif edilen;
“(d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır”
cümlesi de ilk defa veri işleyenin sorumlu tutularak idari para cezasının sorumlusu olabileceğinin öngörülmesi bakımından önem arz etmektedir.
İdari Yargı Yolunun Açılması
Mevcut Durum
Halihazırda kurulca verilen idari yaptırım kararlarına karşı sulh ceza hakimliklerine başvurulmaktadır. Ancak sulh ceza hakimliklerinin yeterli incelemeyi yapmaması ve hak ihlallerinin yoğunluk kazanması sebebiyle uygulamada problemler yaşanmaktadır.
Yeni Durum
Teklif’in 35. Maddesi ile KVKK’nin 18. maddesine eklenmesi öngörülen 3. fıkra doğrultusunda kurul tarafından verilen idari yaptırım kararlarına karşı idari dava yolunun açılması öngörülmektedir:
“(3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.”
Geçiş Süreci ve Yürürlük
Teklif son olarak uygulamada oluşabilecek karışıklıkların önüne geçebilmek adına geçiş sürecini düzenleyen geçici madde 3’ün KVKK’ye eklenmesini öngörmektedir. Bu kapsamda yurtdışına veri aktarımına ilişkin halihazırda yürürlükte olan KVKK md 9/1’in (kişisel verilerin ilgilinin açık rızası ile yurtdışına aktarılabileceği düzenlemesi) 1 Eylül 2024 tarihine kadar uygulanmaya devam edilmesi öngörülmektedir. Ayrıca 1 Haziran 2024 itibarıyla sulh ceza hakimlikleri tarafından incelenen başvuru dosyalarının sulh ceza hakimlikleri tarafından sonuca bağlanması öngörülmüştür:
“GEÇİCİ MADDE 3-
(1) 9 uncu maddenin bu maddeyi ihdas eden Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1/9/2024 tarihine kadar uygulanmaya devam olunur.
(2) 1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam olunur.”
Sonuç ve Değerlendirme
Değişiklik, KVKK’yi GDPR’ye yaklaştırma ve uygulamada yaşanan sorunlara cevap verebilme anlamında olumlu göründüğü kanaatindeyiz. Değişiklik 01.06.2024 tarihinde yürürlüğe girecektir. Yürürlükle birlikte açık rıza metinleri, aydınlatma formu gibi dokümanların da bu kapsamda revize edilmesi gerekliliği ve genel anlamda kişisel verilere ilişkin süreçlerin yeniden yapılandırılması gerekliliği doğacağından veri sorumlusu ve veri işleyenlerin, gerekli çalışmalara en kısa zamanda başlamaları gerektiği kanaatindeyiz.