Kişisel Verilerin Korunması Kanunu'nda ("KVKK") uzun zamandır yapılması beklenen önemli değişiklikler, 12 Mart 2024 tarihli Resmî Gazete'de yayımlanan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ("Değişiklik Kanunu") ile gerçekleşti. Değişiklik Kanunu ile getirilen düzenlemeler 1 Haziran 2024 tarihinde yürürlüğe girecektir.
Türkiye'nin ekonomik istikrarını güçlendirmek amacıyla belirli aralıklarla Hazine ve Maliye Bakanlığı ile Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı tarafından Türkiye'deki özel sektör ve kamu sektörünün izlemesi gereken ekonomik ve sosyal politikaları, ilke ve hedefleri ele alan Orta Vadeli Program hazırlanmaktadır. 2024-2026 Orta Vadeli Program'da belirlenen hedeflerde KVKK'nın 2024 yılının 4. çeyreğinde Avrupa Birliği Genel Veri Koruma Tüzüğü'ne ("GDPR") uyum sürecinin tamamlanması, doğrudan yatırımlar açısından aciliyet taşıyan konularda ise bu tarihten önce değişiklik yapılması öngörülmüştü. Bu kapsamda Değişiklik Kanunu çıkartılarak, uzun zamandır özellikle yurt dışına veri aktarımının GDPR ile uyumlulaştırılmasına yönelik veri sorumlularının beklediği değişiklikler önceliklendirildi. 2024-2026 Orta Vadeli Program'da belirlenen hedeflere bakıldığında, kişisel veri işlenmesine yönelik aciliyet taşıyan konuların Değişiklik Kanunu ile değiştirildiği, KVKK'nın tamamının GDPR ile uyumlulaştırılmasına yönelik olarak ise ileriki dönemde daha kapsamlı bir değişiklik yapılacağı anlaşılmaktadır.
Değişiklik Kanunu ile özel nitelikli kişisel verilerin işlenme şartlarında, yurt dışına veri aktarımının şartlarında ve Kişisel Verileri Koruma Kurulu'nun ("Kurul") kararlarına karşı itiraz merciinde aşağıda kısaca özetlenen değişiklikler yapılmıştır:
1. Yeni Getirilen Özel Nitelikli Kişisel Veri İşleme Şartları
KVKK uyarınca sağlık verileri, cinsel hayata ilişkin veriler, biyometrik ve genetik veriler, dernek, vakıf veya sendika üyeliği, sabıka kaydı verileri gibi KVKK ile belirlenen özel nitelikli kişisel veriler kural olarak açık rızanın varlığı halinde işlenebilmektedir. KVKK aynı zamanda özel nitelikli kişisel verilerin açık rıza alınmadan işlenebileceği diğer hukuka uygunluk sebeplerini de düzenlemektedir. Buna göre (i) sağlık ve cinsel hayat verileri haricindeki özel nitelikli kişisel veriler yalnızca kanunlarda açıkça yer alması halinde ilgili kişinin açık rızası bulunmasa dahi işlenebilmekte ve (ii) sağlık ve cinsel hayata ilişkin veriler ise ancak sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ve sağlık hizmetleri ile finansmanın planlanması ve yönetimi amaçlarıyla sınırlı olarak ilgili kişinin açık rızası bulunmadan işlenebilmektedir.
Değişiklik Kanunu, GDPR ile uyumun arttırılması amacıyla özel nitelikli kişisel verilerin işlenmesi için yeni hukuka uygunluk sebepleri getirdi ve sağlık ile cinsel hayata yönelik verilerin işlenmesindeki kıstaslar, diğer özel nitelikli kişisel verilerin işlenmesi şartlarıyla yeknesaklaştırıldı. Değişiklik Kanunu ile getirilen "istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için veri işlemenin zorunlu olması" hukuka uygunluk sebebi, işveren veri sorumlularının operasyonel faaliyetlerini yürütürken karşılaştıkları özel nitelikli veri işlemeye yönelik zorlukları ortadan kaldıracaktır. Bu değişiklikle beraber işverenler, işe alım süreçlerinde, iş sağlığı ve güvenliği yükümlülüklerinin yerine getirilmesi kapsamında insan kaynakları departmanı çalışanları vasıtasıyla özel nitelikli kişisel verileri işlemek için artık çalışanın açık rızasına ihtiyaç duymayacaktır.
Değişiklik Kanunu'nun yürürlüğe girmesiyle beraber, ilgili kişilerin açık rızasının mevcut olması, kanunlarda düzenlenen açık bir hükmün varlığı, bir hakkın tesisi, kullanılması veya korunması için özel nitelikli kişisel verinin işlenmesinin zorunlu olması başta olmak üzere, alternatif hukuka uygunluk sebepleri kapsamında da özel nitelikli kişisel veriler işlenebilecektir.
2. Yurt Dışına Veri Aktarımı
KVKK uyarınca kişisel veriler, kural olarak verisi aktarılacak kişinin açık rızası bulunmadan yurt dışına aktarılamamaktadır. KVKK aynı zamanda kişisel verilerin açık rıza alınmaksızın yurt dışına aktarılabileceği şartları düzenlemiştir. Buna göre kişisel veriler (i) aktarım yapılacak ülkenin Kurul tarafından yeterli korumaya sahip olan ülke olarak belirlenmesi ve KVKK'nın 5/2 ve 6/3 maddelerindeki şartlardan birinin varlığı halinde veya (ii) aktarım yapılacak ülkenin yeterli korumaya sahip olmadığı durumda, Kurul tarafından yayımlanan taahhütnamelerin imzalanması ve Kurul'un onayının alınması durumunda açık rıza alınmadan yurt dışına aktarılabilecektir.
Yeterli korumaya sahip olan ülkelerin listesinin henüz açıklanmaması, taahhütnamenin onay sürecinin oldukça uzun sürmesi ve ilgili kişilerden yurt dışına aktarıma yönelik rıza alınması, uygulamada birçok operasyonel zorluğu beraberinde getirmekte ve özellikle bulut hizmetleri ile yazılım hizmetlerini yurt dışındaki üçüncü taraflardan sağlayan veri sorumlularının operasyonel güçlük yaşamasına sebep olmaktadır. Değişiklik Kanunu uyarınca, kişisel verilerin yurt dışına aktarımı GDPR'daki hükümlerle uyumlu hale getirilerek operasyonel anlamda yaşanan zorlukların giderilmesi amaçlandı. Buna göre kişisel veriler aşağıdaki şartların varlığı halinde açık rıza almadan yurt dışına aktarılabilecektir:
- Bir ülke, ülke içerisindeki sektör veya uluslararası kuruluş hakkında Kurul tarafından yeterlilik kararı verilmesi;
- Yeterlilik kararının bulunmaması halinde aşağıdaki güvencelerden birinin varlığı;
-
- Uluslararası sözleşme niteliğinde olmayan bir anlaşmanın varlığı ve Kurul'un izninin alınması,
- Bağlayıcı şirket kurallarının varlığı ve Kurul'un izninin alınması,
- Kurul tarafından yayımlanacak standart sözleşmelerin imzalanması ve Kurul'a bildirimde bulunulması veya
- Taraflar arasında yeterli korumanın sağlandığına dair taahhütname imzalanması ve Kurul'un izninin alınması.
Standart sözleşmelerin imzalanması hukuki yükümlülüğün yerine getirilmesi için yeterli olmayıp bu sözleşmelerin imzalandığına yönelik veri sorumluları ve veri işleyenler tarafından Kurul'a beş gün içerisinde bildirimde bulunulması gerekmektedir. Bu yükümlülüğü ihlal eden veri sorumlusu ve veri işleyenler hakkında 50.000 TL ile 1.000.000 TL arasında idari para cezası uygulanacaktır. Standart sözleşmeler Kurul tarafından henüz yayımlanmamış olup ilerleyen dönemde konuya ilişkin detaylı düzenleme çıkartılması beklenmektedir.
Değişiklik Kanunu, arızi ve tek seferlik yurt dışına veri aktarımları için yöntemleri de belirlemiştir. Ancak bu kurallar istisnai durumlar için uygulanmaktadır. Açık rıza alarak veri aktarımı yapılması, arızi durumlar için belirlenen kurallardan biridir. Değişiklik Kanunu, yurt dışına veri aktarımından sonra gerçekleştirilecek diğer aktarımların da yeni düzenlemeye uygun olarak yapılması gerektiğini açıkça düzenlemiştir.
3. Kurul Kararlarına Karşı İtiraz Mercii
Değişiklik Kanunu ile, Kurul kararlarına karşı yapılacak itirazlarda sulh ceza mahkemeleri yerine idare mahkemeleri yetkilendirildi. Bu değişiklik, Kurul kararlarının uzmanlaşmış bir mahkeme tarafından incelenmesine ve itirazların esasının daha kapsamlı şekilde değerlendirilmesine olanak sağlayacaktır.
Değişiklik Kanunu 1 Haziran 2024 tarihinde yürürlüğe girecektir. Ancak yurt dışına veri aktarımına ilişkin mevcut hükümlerin, yeni hükümlerle beraber 1 Eylül 2024 tarihine kadar yürürlükte kalması öngörülmüştür. Bu sebeple veri sorumlularının yukarıda belirtilen tarihleri gözeterek Değişiklik Kanunu'na uyum sağlaması gerekmektedir. Yurt dışına veri aktarımı süreçlerinin uyumunu sağlamak adına, aynı zamanda ikincil düzenlemelerin sıkı sıkıya takip edilmesi önem arz etmektedir.
© Kolcuoğlu Demirkan Koçaklı Attorneys at Law 2020
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.