İçindekiler
KVKK Değişiklikleri Bilgilendirme Raporu
1. 8.YARGI PAKETİ KAPSAMINDA GETİRİLEN KVKK DEĞİŞİKLİKLERİ GENEL BİLGİLENDİRME
1.1. Kapsam ve Bilgilendirmenin İçeriği
Bilindiği üzere 02.03.2024 tarihinde TBMM’de kabul edilen 8. Yargı Paketi ile 12.03.2024 tarihli 32487 sayılı Resmî Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanun kapsamında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda da birtakım değişiklikler yapılmıştır.
Yürürlüğe alınan kanun değişiklikleri, kuruluşların kişisel veri aktarımını nasıl yöneteceğini ve yasal uyumluluğu nasıl sağlayacağını da etkilemiştir. Bu güncellemeler, uluslararası veri koruma standartlarına uyum sağlamayı amaçlayan işletmeler için büyük önem taşımaktadır.
1.2. KVKK'da Yapılan Son Değişikliklere Genel Bakış: Veri Koruma ve Uyumluluğun Artırılması ve İçerik Hakkında
8.Yargı Reform Paketi kapsamında, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nda (KVKK) yapılan ve 12 Mart 2024'te Resmî Gazete'de yayımlanan bu değişiklikler, 7499 sayılı Kanun kapsamında, Türkiye'de faaliyet gösteren kuruluşlar için veri koruma ve uyum süreçlerini geliştirmeyi amaçlayan önemli güncellemeler getirmektedir.
Temel KVKK Değişiklikleri
Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Yeni Hukuki Dayanaklar
Genişletilmiş Hukuki Dayanaklar: Revize edilen Madde 6, özel nitelikli kişisel verilerin işlenmesine yönelik yeni hukuki dayanaklar sunmaktadır. Bu dayanaklar arasında yaşamın korunması, kamusal işleme faaliyetleri ile istihdam ve sosyal hizmetlerde yasal yükümlülüklerin gereklilikleri bulunmaktadır.
Detaylı Düzenlemeler: Gizlilik yükümlülüğü altındaki kişiler tarafından veri işleme ve sağlıkla ilgili amaçlarla kamu kurumları tarafından veri işleme gibi özel senaryolar korunarak, GDPR standartlarıyla uyum sağlanmaktadır.
Uluslararası Veri Aktarımları İçin Getirilmiş Düzenlemeler
Standart Sözleşme Maddeleri (SCC'ler): Yeni rejim kapsamında, SCC'lerin Veri Koruma Kurumu'na beş iş günü içinde bildirilmesi gerekmektedir. Bildirilmemesi durumunda 50.000 ila 1.000.000 Türk lirası arasında para cezası uygulanabilecektir.
Bağlayıcı Şirket Kuralları ve Yeterlilik Kararları: Değişiklikler, kişisel verilerin yurt dışına aktarımı için bağlayıcı şirket kuralları ve yeterlilik kararlarının kullanımını da açıklığa kavuşturmaktadır.
Güncellenmiş İdari Para Cezaları ve Yükümlülükler
Para Cezalarının Genişletilmiş Kapsamı: İdari para cezaları artık sadece veri sorumlularını değil, aynı zamanda bildirim yükümlülüklerini yerine getiremeyen veri işleyenleri de kapsamaktadır. Bu değişiklik, kişisel verileri işleyen tüm tarafların hesap verebilirliğini sağlamıştır.
Yeknesak Hâle Getirilmiş Yargı Yolu
İdare Mahkemelerinde Görülen Davalar: Değişiklikler, Veri Koruma Kurulu kararlarına itiraz için idari mahkemelere başvuru prosedürünü birleştirerek, bu tarz davalarında hukuki birliği artırmıştır.
Kuruluşlara Etkisi
Kuruluşlar, bu yeni düzenlemelere uyum sağlamak için veri koruma stratejilerini yeniden değerlendirmelidir. Zamanında bildirim, genişletilmiş hukuki işleme dayanakları ve daha geniş idari para cezaları üzerindeki vurgu, veri yönetimi ve yasal uyum için proaktif bir yaklaşım gerektirir.
Metin İçeriği
İşbu Bilgilendirme Metninin ikinci bölümünde özel nitelikli kişisel verilerin işlenmesine ilişkin yeni hukuki işleme sebepleri ele alınmıştır. Üçüncü Bölümde kişisel verilerin yurt dışına aktarılmasına ilişkin yeni rejim analiz edilmiştir. Dördüncü Bölümde idari para cezası reformu incelenmiştir. Beşinci Bölümde yargı yolu reformuna değinilmiştir. Altıncı Bölümde yeni hükümlerin yürürlüğü ve geçiş sürecinin nasıl olacağına ilişkin hükümler ele alınmıştır. Yedinci Bölümde değişiklikler özetlenmiş ve çalışmaya son verilmiştir.
2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENMESİNE İLİŞKİN DEĞİŞİKLİKLER (6. MADDE DEĞİŞİKLİKLERİ)
2.1. 6.Maddenin Eski Hâli
KVKK’nın 6. Maddesinin eski hâli şu şekildedir:
Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6 - (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Eski 6. maddenin sistematiğine göre özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Hukuki işleme sebebi açısından ilgili kanunlarda öngörülen hâller için sağlık ve cinsel hayat verileri dışındaki veriler için ise istisna tanınmıştır. Sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği öngörülmüştür. Diğer bir deyişle, açık rıza ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleme temel hukuki işleme sebebidir.
2.2. 6.Maddenin Yeni Hâli
KVKK Reform Yasasıyla değişikliğe uğrayan 6. madde ise şu şekildedir:
Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) (Mülga fıkra)
(3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
hâlinde mümkündür.
2.3. Yapılan Değişiklikler
KVKK Reform Yasası gerekçesinde de belirtildiği üzere, eski 6. maddeye göre sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenebilmesi, sadece ilgili kişinin açık rızasının bulunması veya kanunlarda öngörülmesi hâlinde mümkündü. Sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise açık rızanın dışında sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanı, yönetimi ve planlanması amacıyla işlenebilmekteydi. Gerekçede de vurgulandığı üzere eski düzenleme uyarınca sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilmektedir. Ancak başta sigortacılık sektörü, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında sağlık verisine ihtiyaç bulunmaktadır.
Gerekçede de belirtildiği üzere, yapılan değişiklikle, özel nitelikli kişisel verilerin işlenme şartları, güncel ihtiyaçlar ve GDPR nazara alınarak yeniden düzenlenmektedir. Maddenin ikinci fıkrasında özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm muhafaza edilmekte ve özel nitelikli kişisel verilerin işlenebileceği hâller tahdidi olarak sayılmaktadır. Bu fıkrada sayılan hâllerden birinin varlığı hâlinde özel nitelikli kişisel verilerin işlenmesi mümkün olacaktır.
2.3.1. Özel nitelikli kişisel veri tanımı muhafaza edilmiştir.
6. maddenin birinci fıkrasında yer alan “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. “ şeklindeki özel nitelikli kişisel veri tanımı muhafaza edilmiştir. Tahdidi olarak sayılan bu özel nitelikli kişisel verilere ekleme veya çıkarma yapılmamıştır.
2.3.2. Hukuki işleme sebepleri genişletilmiştir.
6. maddenin ikinci fıkrasında yer alan hukuki işleme sebepleri genişletilmiştir. Özel nitelikli kişisel verilerin işlenme şartları tahdidi olarak sayılmıştır. Bu değişiklikler yapılırken 5. maddedeki hukuki işleme sebepleriyle uyum gözetilmiştir. Bütüncül bir yaklaşımla hem özel nitelikli olan hem de olmayan kişisel verilerin benzer hukuki işleme sebeplerine dayalı olarak işlenmesi öngörülmüştür. Yeni 6. madde uyarınca özel nitelikli kişisel verilerin işlenebileceği hukuki işleme sebepleri şunlardır:
1. Açık rıza
2. Kanunlarda açıkça öngörülme
3. Fiili imkânsızlık
4. Alenileştirme
5. Bir hakkın tesisi, kullanılması veya korunması için zorunluluk
6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleme
7. İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülükler için işleme
8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlara ilişkin özel işleme sebebi
2.3.3. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından özel nitelikli kişisel verilerin açık rıza gerektirmeksizin işlenmesi hukuki işleme sebebi muhafaza edilmiştir.
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olmasına ilişkin hukuki işleme sebebi muhafaza edilmiştir. Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumu’nun belirtilen yazılı amaçlarla tuttukları veriler ve kayıtlar bu kapsamda değerlendirilecektir. Peki, bu istisnaya dayalı olarak her türlü özel nitelikli kişisel verinin işlenmesi mümkün müdür? Hükmün getiriliş amacı da dikkate alındığında, bu istisnaya dayalı olarak tüm özel nitelikli kişisel verilerin değil sadece sağlık verilerinin işlenmesi mümkündür.
2.3.4. Fiili imkânsızlık durumunda özel nitelikli kişisel verilerin işlenmesi yeni bir hukuki işleme sebebi olarak belirtilmiştir.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması durumunda özel nitelikli kişisel verilerin işlenmesine olanak tanınmıştır. Bu şekilde 5. maddeyle uyum sağlanmıştır. Gerekçede de belirtildiği üzere, herhangi bir sebeple bilinç kaybından ötürü rızasını açıklayamayacak durumda olan kişinin hayatının veya beden bütünlüğünün korunması amacına mahsus olarak kan grubu ve geçirilen hastalıklar gibi özel nitelikli kişisel veriler fiili imkânsızlık hukuki işleme sebebi bağlamında işlenebilecektir.
2.3.5. Alenileştirilen özel nitelikli kişisel verilerin işlenmesi yeni bir hukuki işleme sebebi olarak belirtilmiştir.
İlgili kişinin kendi iradesiyle alenileştirdiği kişisel verilerin, alenileştirme amacına uygun olarak işlenmesi, yeni bir hukuki işleme sebebi olarak tanımlanmıştır. Örneğin, bir kişinin acil durumlarda kullanılmak üzere herkesin erişimine açık bir alanda paylaşmış olduğu kan grubu ve alerji bilgileri gibi kişisel veriler, bu belirlenen amaç doğrultusunda işlenebilir ve kullanılabilir. Bu durum, hukuka uygun kabul edilmektedir.
Her somut olayın özelliklerine göre alenileştirme iradesinin tespiti ve bu iradeye uygun sınırlı bir işleme yapılması gerekmektedir. KVKK’nın 5. maddesinin ikinci fıkrasının (ç) bendinde yer alan, kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasını öngören ilke, aleni özel nitelikli kişisel veriler için de geçerlidir ve alenileştirme iradesiyle sınırlı olmalıdır. Diğer bir deyişle, bu ilke kişisel verilerin sınırlı işlenmesini pekiştirmektedir. Önemle belirtmek gerekir ki, aleni nitelikteki özel nitelikli kişisel verilerin işlenebilmesi için alenileştirme eyleminin hukuka uygun şekilde gerçekleştirilmiş olması gerekmektedir. Hukuka aykırı bir ifşa neticesinde aleni hâle gelen özel nitelikli kişisel verinin bu istisnaya dayalı olarak işlenmesi mümkün değildir.
2.3.6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması özel nitelikli kişisel verilerin işlenmesi için yeni bir hukuki işleme sebebi olarak belirlenmiştir.
Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, özel nitelikli kişisel verilerin işlenmesi için hukuki bir dayanak olarak belirlenmiştir. Bu düzenleme, KVKK’nın 5. maddesiyle uyumlu hâle getirilmiştir. Özel nitelikli kişisel verilerin işlenmesinde en önemli hukuki dayanaklardan biri, hakkın tesisi, kullanılması veya korunması için zorunluluk durumudur. Örneğin, iş sözleşmesinin sona ermesinden sonra açılabilecek davalarda savunma hakkını kullanabilmek için işverenin eski çalışanına ait sağlık verilerini saklamaya devam etmesi bu kapsamda değerlendirilebilir. Benzer şekilde, engelli bir kişinin özel tüketim vergisinden muaf olarak araç satın alma hakkından yararlanabilmesi için engelli raporunun vergi dairesi tarafından işlenmesi de bu kapsama girer.
Bu değişiklik, uygulamada karşılaşılan birçok çelişkili durumu ortadan kaldıracaktır. Örneğin, bir doktorun kendisine karşı açılan malpraktis davasında savunma yapabilmesi için delilleri mahkemeye sunması veya zamanaşımı süresi içinde ilgili belge ve kayıtları saklaması, değişiklik öncesinde hukuka aykırı olarak değerlendirilmekteydi. Yapılan değişiklikle birlikte, özel nitelikli kişisel verilerin bir hakkın tesisi, kullanılması veya korunması için işlenmesinin zorunlu olması durumu mümkün hâle gelmiştir. Bu sayede, söz konusu örnek açısından daha hakkaniyetli bir çözüm getirilmiş olmaktadır.
2.3.7. İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi özel nitelikli kişisel verilerin işlenmesi için yeni bir hukuki işleme sebebi olarak belirlenmiştir.
İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olma durumu, özel nitelikli kişisel verilerin işlenmesi için hukuki bir sebep olarak tanımlanmıştır. Bu düzenleme, uygulamada en çok sorun çıkaran konuları ele alarak 6098 sayılı Türk Borçlar Kanunu ile 4857 sayılı İş Kanunu’nun KVKK ile ilişkisini net bir şekilde ortaya koymaktadır. Örneğin, 4857 sayılı İş Kanunu kapsamında işverenlerin engelli veya hükümlü çalıştırma yükümlülüğünü yerine getirebilmesi için kişilerin sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işlenmesi, diyaliz hastalarına sunulan sağlık kuruluşuna taşıma hizmetinin yerine getirilmesi için kişinin sağlık raporunun işlenmesi, bu yeni hukuki işleme sebebi kapsamında değerlendirilecektir.
Veri sorumlusunun yükümlülükleri, farklı mevzuatlardan kaynaklanabilir. Örneğin, Karayolu Taşıma Yönetmeliği, yönetmelik kapsamındaki taşıtları kullanacak şoförlerin uyuşturucu, silah, insan ve gümrük kaçakçılığı ile terör suçlarından dolayı hürriyeti bağlayıcı ceza almamış olmalarını ve şoförlük mesleği bakımından bedeni ve psiko-teknik açıdan sağlıklı olduklarını gösteren bir sağlık raporunu yetkili sağlık kuruluşlarından her beş yılda bir almalarını zorunlu tutmaktadır. Bu yönetmelik kapsamında taşıtları kullanacak şoförlerin ceza mahkumiyeti ve sağlık verileri, istihdam ilişkisi kapsamında bu hukuka uygunluk sebebine dayanılarak işlenebilecektir.
İstihdam ilişkisinin kurulması aşamasında, işçinin "çalışma yeterliliğini" değerlendirmek için hukuki yükümlülük nedeniyle verilerin işlenmesinin zorunlu olması hâlinde, KVKK’nın 6. maddesinde düzenlenen bu yeni hukuki işleme sebebine dayalı olarak değerlendirme yapılması gerekmektedir. Benzer şekilde, hukuki bir yükümlülük nedeniyle engellilik oranı veya psiko-teknik açıdan sağlık durumu gibi sağlık verilerinin işlenmesi zorunlu ise, henüz çalışan adayı konumunda olan ilgili kişinin verilerinin istihdam ilişkisi kapsamında işlendiği kabul edilerek KVKK’nın 6. maddesinde düzenlenen bu yeni hukuki işleme sebebine dayalı olarak işleme gerçekleştirilebilecektir.
Esasında KVKK’nın 6 maddesindeki değişikliği 6098 sayılı Türk Borçlar Kanunu’nun ‘Kişisel verilerin kullanılması’ başlıklı 419. maddesinde yer alan ve işverenin işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabileceğini öngören hükümle beraber okumak gerekmektedir. Dolayısıyla, korunan hukuki menfaatler dikkate alındığında ve ilgili kişiler açısından ortaya çıkabilecek riskler değerlendirildiğinde, istihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesine ilişkin hukuki işleme sebebinin geniş değil dar yorumlanması gerekmektedir. Önemle vurgulamak gerekir ki, özel nitelikte olmayan kişisel veriler için getirilen hukuki işleme sebebi 5. maddede yer alan “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hukuki işleme sebebinden daha dardır. Özel nitelikli olmayan kişisel verilerin işlenmesinde her türlü hukuki yükümlülüğe dayanabilecekken özel nitelikli kişisel veriler için bu hukuki yükümlülüğün istihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanından kaynaklanması gerekmektedir.
2.3.8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumların üyelerine yönelik yeni bir hukuki işleme sebebi belirlenmiştir.
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına ve yahut bu kuruluş ve oluşumlarla düzenli olarak temas hâlinde olan kişilere yönelik kişisel verilerin işlenmesi yeni bir hukuki işleme sebebi olarak düzenlenmiştir.
Bu yeni hukuki işleme sebebi, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen oluşumlar tarafından, özel nitelikli kişisel verilerden bazılarının işlenebilmesini düzenlemektedir. Buna göre, bu kuruluş ve oluşumlar, mevcut ve eski üyeleri ile bu kuruluş ve oluşumlarla düzenli olarak temas hâlinde olan kişilerin özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin, bu kuruluş ve oluşumların mevcut üyelerinin yanı sıra eski üyeleri ve düzenli olarak bağış yapmak suretiyle kendisiyle temas hâlinde olan kişilerin bu durumlarına ilişkin bilgiyi işlemesi bu bent kapsamında değerlendirilecektir.
Öte yandan bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın üyelerin sağlık veya din ya da mezhebine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işleyemeyecektir.
2.3.9. Tablo 1: Özel Nitelikli Kişisel Verilerin Hukuki İşleme Sebepleri
İşleme Sebepleri | ESKİ DÜZENLEME | YENİ DÜZENLEME |
---|---|---|
Açık rıza | Evet | Evet |
Tüm özel nitelikli kişisel veriler için kanunlarda açıkça öngörülme | Hayır | Evet |
Sağlık ve cinsel hayat dışındaki veriler için kanunlarda öngörülme | Evet | Hayır |
Fiili imkânsızlık | Hayır | Evet |
Alenileştirme | Hayır | Evet |
Bir hakkın tesisi, kullanılması veya korunması için zorunluluk | Hayır | Evet |
Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işleme | Evet | Evet |
İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülükler için işleme | Hayır | Evet |
Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlara ilişkin özel işleme sebebi | Hayır | Evet |
3. KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASINA İLİŞKİN DEĞİŞİKLİKLER (9. MADDE DEĞİŞİKLİKLERİ)
3.1. Genel
KVKK’nın eski 9. maddesinde kişisel verilerin yurt dışına aktarılması usulü belirlenmiştir. Maddenin mevcut birinci fıkrasına göre, kişisel veriler ilgili kişinin açık rızası ile yurt dışına aktarılabilir. Mevcut ikinci fıkrasına göre ise, ilgili kişinin açık rızası olmadan kişisel verilerin yurt dışına aktarılabilmesi için KVKK’nın 5. maddesinin ikinci fıkrası ve 6. maddesinin üçüncü fıkrasında belirtilen şartlardan birinin sağlanması ve KVK Kurulu’nun kişisel verilerin aktarılacağı ülke için yeterli korumanın bulunduğuna dair karar vermesi (yeterlilik kararı) gerekmektedir. Yeterlilik kararı olmayan ülkelere veri aktarımı, ilgili kişinin açık rızası olmaksızın, yalnızca Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izin vermesi durumunda mümkündür.
KVKK’nın bugüne kadarki uygulamalarına bakıldığında, Türkiye ne başka bir ülkeye yeterlilik kararı vermiş ne de başka bir ülkeden yeterlilik kararı almıştır. Mevcut sistemde Türkiye’den yabancı ülkelere kişisel veri aktarımı, ilgili kişilerin açık rızası alınmadıkça, yalnızca Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izni ile gerçekleştirilebilir. Bugüne kadar KVK Kurulu’na sekseni aşkın taahhütname başvurusu yapılmış olup, bunların çok azına izin verilmiştir.
Bu nedenle, yurt dışına veri aktarımı uygulamada genellikle ilgili kişilerin açık rızasının alınmasına bağlı hâle gelmiştir. Bu durum, ticari hayatta hemen hemen her şirket ve kişi tarafından sıkça kullanılan ve sunucuları yurt dışında bulunan bulut tabanlı yazılım ve uygulamaların hukuka uygun kullanımını neredeyse imkânsız hâle getirmekte, aynı zamanda Türkiye’ye yapılacak yatırımları da engellemektedir.
Bu tespitler ışığında, Avrupa Birliği’nin 2018 yılında yürürlüğe koyduğu GDPR ile gelişen teknoloji ve dijitalleşme sonucu ticari hayatın dinamizmi dikkate alınarak, ilgili kişilerin haklarını da koruyacak şekilde Avrupa Birliği dışına veri aktarımı konusunda yeni yöntemler öngörülmüştür. KVKK’nın 9. maddesi, GDPR’ın ilgili hükümleri esas alınarak değiştirilmiştir.
3.2.9. Maddenin Eski Hâli
KVKK’nın 9. maddesinin eski hâli şu şekildedir:
Kişisel verilerin yurt dışına aktarılması;
MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.
2) Kişisel veriler, 5’inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
a) Yeterli korumanın bulunması,
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.
(3)Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.
(4)Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
a)Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
b)Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
c)Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
ç)Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
d)Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.
(5)Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(6)Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
3.3.9. Maddenin Yeni Hâli
KVKK Reform Yasasıyla esaslı şekilde değişikliğe uğrayan 9. madde şu şekildedir:
Kişisel verilerin yurt dışına aktarılması;
MADDE 9-(1)Kişisel veriler, 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması hâlinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.
(2)Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması hâlinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hâllerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(3)Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:
a)Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b)Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c)Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç)Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d)Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e)Türkiye’nin taraf olduğu uluslararası sözleşmeler.
(4)Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5’inci ve 6’ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması hâlinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
a)Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b)Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c)Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç)Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
(5)Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.
(6)Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hâllerden birinin varlığı hâlinde yurt dışına kişisel veri aktarabilir:
a)İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b)Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c)Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç)Aktarımın üstün bir kamu yararı için zorunlu olması.
d)Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
e)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f)Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
(7)Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.
(8)Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.
(9)Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(10)Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(11)Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
3.4. Yapılan Değişiklikler
Yeni düzenlemeyle, kademeli ve alternatifli bir aktarım rejimi kurulmuştur. Yeni düzenlemede kişisel verilerin yurt dışına aktarılması için üç farklı alternatif vardır:
(1)Yeterlilik kararına dayalı aktarım
(2)Uygun güvencelere dayalı aktarım
(3)Arızi durumlara dayalı aktarım
3.4.1. Yeterlilik Kararına Dayalı Aktarım
Yeterlilik kararına dayalı aktarım muhafaza edilmiş ve yeterlilik kararına sadece ülkeler değil, uluslararası kuruluşlar ve sektörler de dahil edilmiştir. 9. maddenin eski hâlinde kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamayacağı belirtilmekteydi. Yeni düzenlemeyle, kişisel verilerin KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması hâlinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabileceği belirtilmiştir. Kişisel verilerin yurt dışına aktarılması da bir kişisel veri işleme olduğu için, bu durumda da 5 ve 6. maddelerde belirtilen hukuki işleme sebeplerine dayanılması gerektiği vurgulanmıştır.
Yeni düzenlemede de yurt dışına kişisel veri aktarımı için temel kural olan yeterlilik kararı esas alınmıştır, ancak yeterliliğin kapsamı genişletilmiştir. Yeni düzenleme, bir ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında bağımsız olarak yeterlilik kararı verilmesine imkân tanımaktadır. Başka bir deyişle, mevcut hükümden farklı olarak yabancı bir ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde yeterlilik kararı verilmesi mümkün hâle gelmiştir. Örneğin, Türkiye’deki otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü bakımından yeterlilik kararı verilmesi mümkün hâle gelmiştir.
Yeterlilik kararı bulunmaması durumunda, açık rızaya gitmeksizin güvencelere dayalı aktarım yöntemine başvurulması imkânı getirilmiştir. KVKK’nın 9. maddesinde en önemli değişiklik, yeterlilik kararı bulunmaması durumuna ilişkin yapılmıştır. Yeni düzenlemeye göre, yeterlilik kararı bulunmaması durumunda, uygun güvencelerin varlığı hâlinde kişisel veriler yurt dışına aktarılabilecektir. Yeterlilik kararının bulunmaması durumunda, KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanması hâlinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılması mümkün hâle gelmiştir.
Önemle vurgulamak gerekir ki, “güvencelere dayalı aktarım” için her durumda aranacak üç ön koşul vardır:
1. KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı.
2. İlgili kişinin haklarının aktarımın yapılacağı ülkede de kullanılabilmesi.
3. Aktarımın yapılacağı ülkede kişisel verilerin korunmasına ilişkin etkili kanun yollarına başvurma imkânının bulunması.
Yenilikler uyarınca veri sorumlularının ve veri işleyenlerin, kişisel verilerin aktarılacağı ülke, uluslararası kuruluş veya sektör hakkında kapsamlı bilgi sahibi olmaları gerekmektedir. Belirtmek gerekir ki, yeni sistem gelişigüzel yurt dışına veri aktarılmasına izin vermemektedir. Eski metnin temel olarak açık rızaya dayalı olduğu dikkate alındığında, yeni metin daha güvenlidir. Özetle, hakkında yeterlilik kararı bulunmayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörlere, KVKK’nın 5 ve 6. maddelerindeki veri işleme şartlarından birinin varlığı hâlinde, aktarımın yapılacağı ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla, belirtilen "uygun güvencelerden" birinin sağlanması durumunda kişisel veri aktarılması mümkün olacaktır.
3.4.2. Uygun Güvencelere Dayalı Aktarım
Yeterlilik kararı bulunmaması durumunda, açık rızaya gitmeksizin güvencelere dayalı aktarım yöntemine başvurulması imkânı getirilmiştir. KVKK’nın 9. maddesinde en önemli değişiklik, yeterlilik kararı bulunmaması durumuna ilişkin yapılmıştır. Yeni düzenlemeye göre, yeterlilik kararı bulunmaması durumunda, uygun güvencelerin varlığı hâlinde de kişisel veriler yurt dışına aktarılabilecektir. Bu kapsamda, yeterlilik kararı bulunmaması durumunda, KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanması hâlinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarım mümkün hâle gelmiştir.
Yeni sistemde, yurt dışına kişisel verilerin aktarılmasında veri sorumlularının yanı sıra veri işleyenler de temel süje olarak kabul edilmiştir, bu nedenle veri işleyenlere de uygun güvencelere dayalı olarak kişisel verileri yurt dışına aktarma yolu açılmıştır.
Önemle vurgulamak gerekir ki, “güvencelere dayalı aktarım” için her durumda aranacak üç ön koşul vardır:
1. KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı.
2. İlgili kişi haklarının aktarımın yapılacağı ülkede de kullanılabilmesi.
3. Aktarımın yapılacağı ülkede kişisel verilerin korunmasına ilişkin etkili kanun yollarına başvurma imkânının bulunması.
Söz konusu hükümler emredicidir ve aşağıda da izah edilecek diğer alt koşullarla beraber gözetilmelidir. Özetle, hakkında yeterlilik kararı bulunmayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörlere, KVKK’nın 5 ve 6. maddelerindeki veri işleme şartlarından birinin varlığı hâlinde, aktarımın yapılacağı ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla, tahdidi sayılan "uygun güvencelerden" birinin sağlanması durumunda kişisel veri aktarılması mümkün olacaktır.
3.4.2.1. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve KVK Kurulu tarafından bu aktarıma izin verilmesi
Güvencelere dayalı olarak yurt dışına kişisel veri aktarımı yapılabilmesi için ilk hâl, yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan bir anlaşmanın bulunması ve KVK Kurulu'nun bu aktarıma izin vermesi gerekmektedir. Bu şartlar sağlandığında, yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında veri aktarımı yapılabilir.
KVKK Reform Yasası'nın gerekçesinde belirtildiği üzere, Türkiye'deki bir kamu kurumunun, yabancı ülkedeki ilgili bir kamu kurumu ile belirli bir alanda yapacağı iş birliği protokolü kapsamında, KVK Kurulu'nun izin vermesi şartıyla, karşılıklı yapılacak faaliyetlerin gerektirdiği kişisel verilerin yurt dışındaki kamu kurumuna aktarılması mümkündür.
3.4.2.2. Bağlayıcı Şirket Kuralları
Güvencelere dayalı yurt dışına kişisel veri aktarımının ikinci hâli ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve KVK Kurulu tarafından onaylanan bağlayıcı şirket kurallarının varlığı durumudur. Bu aktarım yöntemi, bağlayıcı şirket kuralları (binding corporate rules - BCR) usulünü düzenlemiştir.
KVKK Reform Yasasında yapılan değişiklikle KVK Kurulu’nun idari düzenleyici işlemine kanuni dayanak kazandırılmıştır. KVK Kurulunca onaylanmış bağlayıcı şirket kurallarını haiz bir teşebbüs grubunun Türkiye’deki şirketinden, aynı grubun yabancı ülkedeki şirketine KVK Kurulu’ndan ayrıca izin alınmaksızın veri aktarılması mümkün olacaktır. Bağlayıcı şirket kurallarına dayalı aktarım yapılabilmesi için üç ön koşulun yerine getirilmesi gerekmektedir.
1. Ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketler için bağlayıcılığın sağlanmış olması,
2. Kuralların kişisel verilerin korunmasına ilişkin hükümler içermesi,
3. Bu kuralların KVK Kurulu’nun onayından geçmiş olması.
Eğer ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketler için bağlayıcılık sağlanmamışsa, kurallar kişisel verilerin korunmasına ilişkin hükümler içermiyorsa veya KVK Kurulu onayı yoksa, güvencelere dayalı yurt dışına kişisel veri aktarımı gerçekleştirilemez. Üç ön koşula ilaveten üç alt koşul getirilmek suretiyle özel bir aktarım usulü oluşturulmuştur.
Ayrıca Kurum tarafından Bağlayıcı Şirket Kuralları’na taslak dokümanlar hakkında kamuoyu duyurusu yayımlanmış olup ilgili doküman taslaklarına web sitemizden ulaşabilirsiniz.
3.4.2.3. Standart Sözleşmelerin Varlığı
Güvencelere dayalı yurt dışına kişisel veri aktarımı yapılabileceği üçüncü hâl KVK Kurulu tarafından ilan edilmiş standart sözleşmelerin kullanımı hâlidir. Standart sözleşme (standard contractual clauses - SCC) uygulaması Avrupa Birliği’nde uzun yıllardır uygulaması olan bir güvencelere dayalı aktarım durumudur. Avrupa Komisyonu’nun belirlediği standart sözleşmenin imzalanması suretiyle ayrıca bir izne ihtiyaç olmaksızın kişisel verilerin yurt dışına aktarılması mümkün olmaktadır.
KVKK’nın yeni 9. maddesinin dördüncü fıkrası uyarınca, KVK Kurulu tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı durumunda güvencelere dayalı yurt dışına kişisel veri aktarımı mümkün olacaktır.
Standart sözleşme, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içermelidir. Kişisel veriyi Türkiye’de aktaracak taraf ile kişisel verilerin aktarılacağı taraf -ki bunlar veri sorumlusu veya veri işleyen olabilir- KVKK’nın asgari olarak öngördüğü ve yazılı sözleşmeye yansıtılan yükümlülüklerin yerine getirilip getirilemeyeceğini müzakere ettikten sonra bir karara varmaktadır. Eğer yurt dışındaki karşı taraf, bu yükümlülükleri yerine getirebileceğini, kişisel verileri bulunduğu ülkede tıpkı Türkiye’deki gibi korunacağını taahhüt edebiliyorsa ve bulunduğu ülkede kişisel verilere ilişkin Türkiye’deki asgari güvencelerin varlığını ortaya koyabiliyorsa bu yöntemle bir veri aktarım süreci başlatılabilecektir.
Aşağıda etraflıca inceleneceği üzere, bu yükümlülük, kişisel verilerin yurt dışına sonraki aktarımları da kapsamaktadır. Dolayısıyla, sadece başlangıç noktasında değil kişisel verilerin varacağı en son noktaya kadar aynı güvencelerin varlığı şarttır.
Yeni KVKK değişikliğinde, genel olarak GDPR ile uyum gözetilse de standart sözleşmelere ilişkin kurallar bir yönüyle GDPR’dan farklıdır. GDPR bağlamında güvencelere dayalı aktarımda kullanılan standart sözleşmelerin ulusal veri koruma otoritelerine veya Avrupa Komisyonu’na bildirimi gerekmemektedir. GDPR’da 5. maddesinin ikinci fıkrasında yer alan hesap verebilirlik ilkesinin de bir gereği olarak veri sorumlusu veya veri işleyen, standart sözleşmeleri imzalamakta ve bunlara dayalı olarak anında AB dışına veri aktarımını başlatabilmektedir.
KVKK’nın yeni 9. maddesine eklenen beşinci fıkrası uyarınca ise standart sözleşmelerin, imzalanmasından itibaren 5 iş günü içinde veri sorumlusu veya veri işleyen tarafından KVK Kurulu’na bildirilmesi gerekmektedir. Bu bildirimin zamanında yapılmaması yaptırıma bağlanmıştır ve 18. maddenin birinci fıkrasına eklenen (d) bendiyle, bu bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği düzenlenmiştir.
Yeni yurt dışına kişisel veri aktarım rejiminde en çok uygulama alanı bulacak yurt dışına aktarım türü standart sözleşmelere dayalı olan aktarım hâlidir. Bu güvenceye dayalı aktarım durumunda KVK Kurulu’ndan önceden izin almaksızın, doğrudan aktarım gerçekleştirilebilecektir.
Yeterlilik kararının bulunmaması durumunda, KVKK’nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, standart sözleşmelere kullanılarak veri sorumluları ve veri işleyenler tarafından kişisel veriler yurt dışına aktarılabilecektir.
Özetle, üç ön koşula ilaveten bir alt koşul getirilmek suretiyle özel bir aktarım usulü oluşturulmuştur.
Hemen belirtelim ki Kurum tarafından Standart Sözleşmelere ilişkin taslak dokümanlar hakkında kamuoyu duyurusu yayımlanmış olup ilgili doküman taslaklarına web sitemizden ulaşabilirsiniz.
3.4.2.4. Yazılı Taahhütnamenin Varlığı ve Kurul’un İzni
Güvencelere dayalı yurt dışına kişisel veri aktarımının dördüncü hâli, yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve KVK Kurulu tarafından bu aktarıma izin verilmesi hâlidir. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve KVK Kurulu tarafından aktarıma izin verilmesi durumunda, yeterlilik kararı bulunmayan bir ülkeye kişisel veri aktarılması mümkün olacaktır. Bu aktarım türü, 9. maddenin ilk hâlinde de yer alan bir aktarım türüdür ve mevcut aktarım usulü muhafaza edilmiştir.
3.4.3. Arızi Durumlarda Yurt Dışına Aktarım
Yeterlilik kararı olmayan ve uygun güvencelerden birisinin de sağlanamadığı hâllerde kişisel verilerin yurt dışına aktarılabileceği “arızi aktarım” yöntemi ilk kez tanımlanmıştır. Ne yeterlilik kararının olduğu ne de güvencelere dayalı yurt dışına kişisel veri aktarımın şartlarının sağlanamadığı hâller için özel ve yeni bir aktarım sebebi düzenlenmiştir.
Söz konusu aktarım yöntemi arızi aktarım yöntemidir. Yeterlilik kararı bulunmayıp uygun güvencelerden birinin sağlanamadığı bazı istisnai durumlarda da arızi olmak kaydıyla yurt dışına veri aktarılmasına imkân tanınmıştır. Yeterlilik kararı bulunmadığı ve KVKK’nın 9. maddesinin dördüncü fıkrasında öngörülen uygun güvencelerden birinin sağlanamadığı bazı istisnai durumlarda; arızi olmak kaydıyla diğer bir ifadeyle tek veya birkaç sefer ve süreklilik taşımayacak şekilde, yurt dışına veri aktarılması mümkün hâle gelmiştir. Örneğin; Türkiye’deki bir şirketin yurt dışında bulunan bir şirketle arızi olarak gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat hâlinde olacak çalışanlarına ilişkin bilgileri paylaşması bu kapsamda değerlendirilecektir. Arızi aktarım, sadece tek sefer gerçekleşen bir aktarım anlamına gelmez. Arıziden anlaşılması gereken, düzenli ve sistematik veri aktarımının gerçekleştirilmemesidir. Bu durumun her somut aktarımda özel olarak değerlendirilmesi gerekmektedir.
3.4.3.1. Açık Rızaya Dayalı Yurt Dışına Kişisel Veri Aktarımı
Arızi olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği ilk hâl ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi durumudur. 9. maddenin ilk hâlinde düzenlenen açık rıza yeniden formüle edilmiş ve kapsamı daraltılmıştır. Bu değişiklik, KVKK reformlarının en önemli unsurlarından biridir.
KVKK reformunda GDPR ile tam uyum gözetilmiştir. Eski rejimde, açık rıza arızi olsun veya olmasın genel bir hukuki işleme sebebi olarak kullanılabilmekteydi. Sadece açık rızaya dayalı bir yurt dışına kişisel veri aktarımı rejimi kurmak mümkündü. Ancak yeni değişikliklerle, açık rızaya dayalı aktarım usulünün kullanımı kısıtlanmıştır.
Kanun değişikliğinden önce yurt dışına aktarıma ilişkin alınan açık rızalar hakkında geçiş sürecine ilişkin de kısaca bilgi vermek gerekirse, kanun koyucu bu sorunları dikkate alarak özel bir geçiş süreci öngörmüştür. KVKK’ya eklenen Geçici 3. maddeyle, 9. maddenin bu maddeyi ihdas eden kanunla değiştirilmeden önceki birinci fıkrasının, maddenin yürürlüğe giren değişik hâliyle birlikte 1 Eylül 2024 tarihine kadar uygulanmaya devam edeceği öngörülmüştür. Böylelikle kanun değişikliğinin yürürlüğe girmesinden önce alınmış veya sonra alınacak açık rızaya dayalı olarak, kanun değişikliğinin yürürlüğe girmesinden itibaren üç ay daha yurt dışına veri aktarılmasına imkân tanınmaktadır.
3.4.3.2. İlgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması
Arızi olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği ikinci hâl, aktarımın ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması durumudur. Bu istisnaya dayalı kişisel verileri yurt dışına aktarabilmek için aktarımın hem arızi olması hem de zorunlu olması gerekmektedir.
Örneğin, bir seyahat acentesi tarafından bir müşterisi için üçüncü bir ülkedeki otelde ön-rezervasyon yapması bu duruma örnek olarak verilebilir. Bu örnekte, söz konusu ülkedeki otel ile arızi bir ilişki kurulmaktadır.
3.4.3.3. İlgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması
Arızi olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği üçüncü hâl, aktarımın ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması durumudur. Bu aktarım sebebine dayalı olması için ilgili kişinin sözleşmenin tarafı olmaması ve söz konusu sözleşmenin de ilgili kişinin faydasına olması gerekmektedir.
Örneğin, ilgili kişinin üçüncü kişi tarafından başlatılan uluslararası banka transferinin faydalanıcısı olması veya bir seyahat acentesinin uçuşa ilişkin detayları havayolu şirketine iletmesi gibi faaliyetler bu kapsamda değerlendirilebilir. Ayrıca, eksik veya tam üçüncü kişi yararına sözleşmelerin de somut olayın özelliklerine göre bu kapsamda değerlendirilmesi gerekmektedir.
3.4.3.4. Üstün bir kamu yararı için kişisel veri aktarımının zorunlu olması
Arızi olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği dördüncü hâl, aktarımın üstün bir kamu yararı için zorunlu olması durumudur. Uluslararası iş birliğini artırmaya dayalı bir uluslararası antlaşmaya dayalı aktarım kapsamında ortaya çıkabilecek üstün bir kamu yararı buna örnek gösterilebilir. Ayrıca, insani yardım sebebiyle gerekebilecek arızi bir veri aktarımları, rekabet otoriteleri, vergi otoriteleri, sosyal güvenlik kurumları, arasında kamu yararına yapılacak aktarımlar, bir hastalığın takibi veya sporda dopingin önlenmesi için yapılacak aktarımlar da bu kapsamda değerlendirilebilir. Önemle belirtmek gerekir ki, bu bir arızi aktarım sebebidir ve büyük ölçekte ve düzenli veri aktarımlarının bu hükme dayalı olarak gerçekleştirilmesi mümkün değildir.
3.4.3.5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
Arızi olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği beşinci hâl, bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması durumudur. Akdi, kanuni, idari bir düzenlemeden herhangi bir hakkın tesisi, kullanılması bu kapsama girebilir. Bu hakkın bir mahkeme kararından, alternatif uyuşmazlık çözümüne ilişkin verilmiş bir karardan veya bir tahkim kararından kaynaklanması önemli değildir.
Örneğin, üçüncü bir ülkede yerleşik bir şirket grubunun ana şirketinin, grubun iştiraklerinden birinde geçici görevlendirilen bir çalışanı tarafından dava edilmesi durumunda ispat için veri aktarılmasının gerektiği durumda bu istisnaya dayanılması mümkündür. Önemle belirtmek gerekir ki, bu bir arızi aktarım sebebidir ve büyük ölçekte ve düzenli veri aktarımlarının bu hükme dayalı olarak gerçekleştirilmesi mümkün değildir.
3.4.3.6. Fiili imkânsızlık hâllerinde kişisel verilerin yurt dışına aktarılması
Arızi olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği altıncı hâl, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması durumudur.
Örneğin, bir hastanın tıbbi verilerinin tedavi amaçlı olarak üçüncü bir ülkeye acil bir durumda transfer edilmesinin gerektiği durumlarda bu arızi aktarıma başvurulması mümkündür. Bu durumda, hayat ve beden bütünlüğü için ciddi bir tehdidin varlığı şarttır. Sağlık verilerinin genel bir aktarımı için bu arızi aktarım sebebine dayanmak mümkün değildir.
3.4.3.7. Meşru menfaati olan kişinin talebi üzerine açık sicillerden kişisel verilerin yurt dışına aktarılması
Arızi olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği yedinci hâl, kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması durumudur.
Örneğin, ticaret sicilleri, meslek birliği sicilleri, ceza mahkumiyetlerine ilişkin siciller, tapu sicilleri veya araç sicilleri gibi herkese açık veya ilgisini inanılır kılanlara verilerin açıldığı sicillerdeki verilerin menfaati olan kişinin talebi üzerine üçüncü bir ülkeye aktarılması durumunda bu arızi aktarım sebebine dayanılabilir. Bu istisna, tüm sicilin veya sicildeki tüm veri kategorilerinin aktarılması için dayanak oluşturmamaktadır. Keza bu talebin ilgili kişi tarafından yapılması ve ilgili kişilerin bu talebin alıcısı olması gerekmektedir.
Sonuç olarak, yeni düzenlemede 3 katmanlı bir veri aktarım usulü öngörülmüş olup, kademeli olarak söz konusu şartların varlığının değerlendirilmesi gerektiği Kanun sistematiğinden anlaşılmaktadır.
4. KABAHATLERE İLİŞKİN DEĞİŞİKLİKLER (18. MADDE DEĞİŞİKLİKLERİ)
KVKK değişiklik yasasında yurt dışına kişisel veri aktarımı için yeni bir rejim oluşturulmuştur. Kanaatimizce yeni yurt dışına kişisel veri aktarım rejiminde en çok uygulama alanı bulacak yurt dışına aktarım türü standart sözleşmelere dayalı olan aktarım olacaktır. Bu sebeple, standart sözleşmelere ilişkin özel bir bildirim yükümlülüğü getirilmiştir.
KVKK’nın 9. maddesine eklenen 5. fıkrası uyarınca standart sözleşmenin imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından KVK Kurumu’na bildirilmesi zorunludur. Standart sözleşmelere yönelik bildirim yükümlülüğü ayrıca yaptırıma bağlanmıştır. 18. maddenin birinci fıkrasına eklenen (d) bendiyle, standart sözleşmelere ilişkin 5 iş günlük bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği düzenlenmiştir.
Kişisel verilerin yurt dışına aktarılması sürecinin temel süjesi olarak veri sorumlularının yanında veri işleyenler de sayılmıştır. Nihayetinde, sadece veri sorumluları değil, veri işleyenler de kişisel verileri farklı hukuki işleme sebeplerine dayalı olarak yurt dışına aktarabilmektedir. Ancak veri işleyenlerin kişisel verilerin yurt dışına aktarılması sürecinde bir süje olarak tanımlanması beraberinde sorumluluk da getirmiştir. KVKK'daki yükümlülüklerin ve en önemlisi de idari para cezalarının muhatabı temelde veri sorumlularıdır.
KVKK’nın ‘Kabahatler’ başlıklı 18. maddesinin üçüncü fıkrasında idari para cezalarının veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanacağı belirtilmiştir. Ancak KVKK değişiklikleri ile bu hükme önemli bir istisna getirilmiştir. KVKK değişikliği ile, KVKK’nın 18. maddesinin ikinci fıkrasında yer alan “idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır” ifadesi, “birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır” şeklinde değiştirilmiştir.
KVKK değişiklik gerekçesinde de belirtildiği üzere, veri işleyenlere standart sözleşmenin bildirilmesi bakımından ilk kez sorumluluk yüklenmiş olması sebebiyle, fıkranın (d) bendindeki yaptırımın veri sorumlusunun yanı sıra veri işleyene de tatbik edilmesi hükme bağlanmaktadır. Söz konusu değişiklikle, KVKK’nın 9. maddesinin dördüncü fıkrasının (d) bendi uyarınca standart sözleşmeler kullanarak kişisel verileri yurt dışına aktaran veri sorumluları ve veri işleyenler, standart sözleşmeleri imzalanmasından itibaren 5 iş günü içerisinde KVKK Kurulu’na bildirmezlerse 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezasıyla muhatap olacaklardır.
Veri sorumlusu ve veri işleyen arasında yapılacak bir anlaşma uyarınca standart sözleşmeyi bildirme ödevinin bir tarafa bırakılması mümkündür. Bu sözleşmesel yükümlülüğün taraflardan birisi tarafından yerine getirilmemesi, kanuni sorumluluğu ortadan kaldırmamaktadır.
Neticede, KVKK'da ilk defa yurt dışına veri aktarılmasına yönelik özel bir durum için idari para cezası tanımlanmıştır. Yeni bir kabahat ihdas edilerek, standart sözleşmeleri 5 iş günü içerisinde KVK Kurumu’na bildirmeme durumunda, Kişisel Verileri Koruma Kurulu tarafından veri sorumlusu veya veri işleyenler aleyhine 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği düzenlenmiştir. Veri sorumlularının yanı sıra veri işleyenlerin de standart sözleşmeleri bildirmeme durumunda idari para cezasının muhatabı olması esası getirilmiştir.
5. YARGI YOLUNA YÖNELİK DEĞİŞİKLİKLER
KVKK Reformunda değişiklik yapılan bir diğer konu ise KVK Kurulu kararlarına karşı yargı yolu hususudur. KVKK’nın 18. maddesine eklenen üçüncü fıkrayla “Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.” hükmü getirilmiştir. Kurulca verilen idari para cezalarının mahiyeti nazara alınarak, bu kararların idari yargı mercilerince denetlenmesi sağlanmıştır. Değişiklik öncesi KVK Kurulu kararlarına karşı ikili bir denetleme uygulaması söz konusu olup KVK Kurulu’nun idari para cezalarına karşı sulh ceza hakimliğine başvurulurken idari para cezası dışında kalan kısmı için ise idari yargıya başvurulmaktaydı. Yapılan değişikliklerle KVK Kurulu kararlarının denetimi açısından daha etkin bir usul oluşturulmuştur.
Hukuki belirlilik artacağı ve yeknesaklık sağlanacağı için bireyler açısından daha güvenceli bir sistem kurulduğu söylenebilir.
6. YÜRÜRLÜK VE GEÇİŞ SÜRECİ
Kanun değişikliği metninde, yukarıda izah edilen hükümlerin 1 Haziran 2024 tarihinde yürürlüğe girmesi öngörülmüş olup reform yasasında iki farklı geçiş hükmü yer almaktadır.
6.1. Yurt Dışında Aktarımda Açık Rıza Geçiş Hükmü
KVKK’nın Geçici 3. maddesinin birinci fıkrası uyarınca, KVKK’nın 9. maddesinin KVKK Reform Yasasıyla değiştirilmeden önceki birinci fıkrası, 9. madde değişikliğinin yürürlüğe girdiği tarihten itibaren 1 Eylül 2024 tarihine kadar maddenin yürürlüğe giren değişik hâliyle birlikte uygulanmaya devam edecektir.
Üçüncü Bölümde açıklandığı üzere, getirilen değişikliğin yürürlüğe girmesinden sonra geçiş döneminde yaşanabilecek aksaklıklar dikkate alınarak, KVKK’nın “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz” şeklindeki eski 9. maddesinin birinci fıkrasının üç ay süreyle daha uygulanması öngörülmüştür. Bu geçiş süreci boyunca veri sorumluları ve veri işleyenler, genel açık rızaya dayalı olarak kişisel verileri yurt dışına aktarabilecekleri gibi yeni hükümdeki enstrümanları kullanarak da kişisel verileri yurt dışına aktarabileceklerdir. 1 Eylül 2024 tarihinden itibaren ise kişisel verileri yurt dışına aktarmak için açık rızaya ancak arızi durumlarda ve muhtemel risklere ilişkin ilgili kişileri bilgilendirme yapmak kaydıyla başvurulacaktır.
6.2. Derdest Davalara İlişkin Geçiş Süreci
Bir diğer geçiş hükmü, derdest davalara ilişkindir. Beşinci Bölümde açıklandığı üzere, KVKK değişikliklerinin en önemli faydalarından biri, KVK Kurulu tarafından verilen idari para cezalarına karşı idare mahkemelerinde dava açılmasını öngören tek bir yargı yolu hükmüdür.
Geçiş sürecindeki derdest dosyalar için de hukuki belirlilik sağlamak amacıyla özel bir geçiş hükmü ihdas edilmiştir. Geçici 3. maddenin ikinci fıkrası uyarınca, “1/6/2024 tarihi itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvurular, bu hâkimliklerce görülmeye devam olunur” hükmü getirilmiştir. Bu hüküm, KVKK’nın 18. maddesinin üçüncü fıkrasının zaman yönünden uygulamasını netleştirmektedir. Böylece, KVK Kurulu’nca verilen idari para cezalarına karşı sulh ceza hâkimlikleri yerine idare mahkemelerinde dava açılması öngörüldüğünden, bu hükme ilişkin geçiş düzenlemesi yapılmıştır.
Gerekçede de belirtildiği üzere, KVK Kurulu tarafından verilen idari para cezalarına karşı sulh ceza hâkimliklerine başvuru ve itiraz yerine idare mahkemelerinde dava açılması öngörüldüğünden, özel bir geçiş düzenlemesi yapılmış ve buna göre, 1 Haziran 2024 tarihi itibarıyla sulh ceza hâkimlikleri önünde bulunan dosyalar, bu hâkimliklerce nihai karara bağlanacaktır.
7. ÖZET VE NETİCE
7.1. ÖZET
KVKK’da yapılan değişiklikler genel olarak şu şekilde özetlenebilir:
- Özel nitelikli kişisel verilerin işlenme şartları genişletilmiştir.
- Kişisel verilerin yurt dışına aktarılması için yeni ve alternatifli bir rejim oluşturulmuştur.
- Açık rıza, yurt dışına kişisel veri aktarılması için genel bir sebep olmaktan çıkartılmıştır; istisnai bir hâle getirilmiştir. Açık rızaya dayalı aktarımlara ilişkin özel bir geçiş süreci öngörülmüştür.
- Kişisel verilerin yurt dışına aktarılmasında veri işleyenlerin de veri sorumlularla birlikte idari para cezalarından dolayı sorumlu olduğu esası kabul edilmiştir.
- KVK Kurulu işlemlerinin tamamına karşı tek bir yargı yolu -idari yargı yolu belirlenmiştir.
- Kişisel verilerin yurt dışına aktarılmasına ilişkin (standart sözleşmeleri 5 iş günü içerisinde KVK Kurulu’na bildirmeme) yeni bir kabahat getirilmiştir.
Özel Nitelikli Kişisel Verilere İlişkin Değişiklikler (Madde 6)
- Özel nitelikli kişisel veri tanımı muhafaza edilmiştir.
- Özel nitelikli kişisel verilerin işlenmesinin yasak olduğu vurgusu muhafaza edilmiştir.
- Hukuki işleme sebepleri genişletilmiştir.
- Açık rıza hukuki işleme sebebi muhafaza edilmiştir.
- Kanunlarda öngörülme ifadesine “açıkça” ibaresi eklenmiştir.
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından özel nitelikli kişisel verilerin açık rıza gerektirmeksizin işlenmesi hukuki işleme sebebi muhafaza edilmiştir.
- Fiili imkânsızlık durumunda özel nitelikli kişisel verilerin işlenmesi yeni bir hukuki işleme sebebi olarak tanımlanmıştır.
- Aleni özel nitelikli kişisel verilerin işlenmesi yeni bir hukuki işleme sebebi olarak tanımlanmıştır.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması özel nitelikli kişisel verilerin işlenmesi için yeni bir hukuki işleme sebebi olarak tanımlanmıştır.
- İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi özel nitelikli kişisel verilerin işlenmesi için yeni bir hukuki işleme sebebi olarak tanımlanmıştır.
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumların üyelerine yönelik yeni bir hukuki işleme sebebi tanımlanmıştır.
- Özel nitelikli kişisel verilerin işlenmesinde, KVK Kurulu tarafından belirlenen yeterli önlemlerin alınmasının şart olduğu hüküm muhafaza edilmiştir.
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Değişiklikler (Madde 9)
- Yeterlilik kararına dayalı aktarım muhafaza edilmiş ve yeterlilik kararına ülkeler dışında uluslararası kuruluşlar ve sektörlerin de konu olmasına imkân tanınmıştır.
- Kişisel verilerin yurt dışına aktarılması sürecinin temel süjesi olarak veri sorumlularının yanında veri işleyenler sayılmıştır.
- Yeterlilik kararına ilişkin esaslar muhafaza edilmiştir.
- Yeterlilik kararının en geç dört yılda bir değerlendirilmesine ilişkin kural getirilmiştir.
- Yeterlilik kararı verilirken öncelikle dikkate alınacak hususlar revize edilmiştir.
- Yeterlilik kararı bulunmaması durumunda açık rızaya gitmeksizin güvencelere dayalı aktarım yöntemine başvurulması imkânı getirilmiştir.
- Ön koşulların sağlanması ve yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve KVK Kurulu tarafından bu aktarıma izin verilmesi varlığı hâlinde güvencelere dayalı yurt dışına kişisel veri aktarım yapılması imkânı tanınmıştır.
- Bağlayıcı Şirket Kurallarına kanuni dayanak kazandırılmıştır.
- Ön koşulların sağlanması ve standart sözleşmelerin kullanılması durumunda güvencelere dayalı yurt dışına kişisel veri aktarım yapılması imkânı tanınmıştır.
- KVK Kurulu’na yazılı taahhütname sunma usulü muhafaza edilmiştir.
- Yeterlilik kararı olmayan ve uygun güvencelerden birisinin de sağlanamadığı hâllerde kişisel verilerin yurt dışına aktarılabileceği arızi aktarım yöntemi ilk defa tanımlanmıştır.
- Açık rızaya dayalı yurt dışına kişisel veri aktarımı arızi hâllerle sınırlandırılmıştır ve açık rızaya muhtemel riskler hakkında bilgilendirme unsuru eklenmiştir.
- Arızi olmak kaydıyla ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması durumunda kişisel verilerin yurt dışına aktarılması imkânı getirilmiştir.
- Arızi olmak kaydıyla ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması durumunda kişisel verilerin yurt dışına aktarılması imkânı getirilmiştir.
- Arızi olmak kaydıyla üstün bir kamu yararı için zorunlu olan hâllerde kişisel verilerin yurt dışına aktarılması imkânı getirilmiştir.
- Arızi olmak kaydıyla bir hakkın tesisi, kullanılması veya korunması için zorunlu hâllerde kişisel verilerin yurt dışına aktarılması imkânı getirilmiştir.
- Arızi olmak kaydıyla fiili imkânsızlık hâllerinde kişisel verilerin yurt dışına aktarılması imkânı getirilmiştir.
- Arızi olmak kaydıyla meşru menfaati olan kişinin talebi üzerine açık sicillerden kişisel verilerin yurt dışına aktarılması imkânı getirilmiştir.
- Arızi sebeplerle aktarımda kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerinde kişisel verileri yurt dışına aktarmalarına ilişkin özel bir kısıtlama getirilmiştir.
- Kişisel verilerin yurt dışına sonraki aktarımları için veri sorumluları ve veri işleyenlere özel bir yükümlülük getirilmiştir.
- Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, KVK Kurulu’nun izniyle kişisel verilerin yurt dışına aktarılabileceğine dair hüküm muhafaza edilmiştir.
- Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğuna dair hüküm muhafaza edilmiştir.
- KVK Kurulu’na kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları belirleme yetkisi tanınmıştır.
Kabahatlere İlişkin Değişiklikler
- Yeni bir kabahat ihdas edilerek standart standart sözleşmeleri 5 iş günü içerisinde bildirilmemesi durumunda KVK Kurulu tarafından 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilmesi düzenlenmiştir.
- Veri sorumluların yanında veri işleyenlerin de idari para cezasının muhatabı olması esası getirilmiştir.
KVK Kurulu Kararlarının Yargısal Denetimine İlişkin Değişiklikler
- KVK Kurulu’nca verilen idari para cezalarının mahiyeti nazara alınarak, bu kararların idari yargı mercilerince denetlenmesi sağlanmıştır.
- Geçiş sürecindeki derdest dosyalar için hukuki belirlilik getirilmek için geçici madde ihdas edilmiştir. KVKK değişikliği hükümlerinin yürürlüğe girdiği tarih itibarıyla sulh ceza hâkimliklerinde görülmekte olan başvuruların bu hâkimliklerce görülmeye devam olunacağı kararlaştırılmıştır.
Yürürlük ve Geçiş Sürecine İlişkin Değişiklikler
- KVKK Reform Yasasının 1 Haziran 2024 tarihinde yürürlüğe girmesi öngörülmüştür.
- 1 Eylül 2024 tarihine kadar kişisel verilerin açık rızaya dayalı yurt dışına aktarılmasının devam etmesine imkân tanınmıştır.
7.2. NETİCE
Belirtmek gerekir ki, yukarıda bahsi geçen KVKK revizyonlarına ilişkin organizasyon içerisindeki süreçlerin gözden geçirilmesi ve Kanun’un yürürlüğe girdiği tarih itibarıyla veri işleme faaliyetlerinin bu değişiklikler dikkate alınarak yerine getirilmesi gerekmektedir.
Ayrıca, 12.03.2024 tarihinde Resmî Gazete’de yayımlanan 7499 Sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un özellikle Kişisel Verilerin Yurt Dışına Aktarılmasına ilişkin hükümlerinin uygulanmasına yönelik usul ve esasların Yönetmelik ile düzenleneceği belirtilmiştir.
Bu noktada paydaşların dikkatli ve proaktif olmaları tavsiye edilmektedir. Kapsamı ve detayları açıklanan değişikliklerin, ilgili düzenleyici otorite tarafından yayımlanacak bir Tebliğ aracılığıyla veya Resmî Gazete'de yapılacak resmi bir yayımla duyurulması beklenmektedir. Bu açıklamalar, kuruluşlara net direktifler sunarak, yasal değişikliklere sorunsuz uyum ve operasyonel hizalanmayı kolaylaştıracaktır.
Kuruluşlar, uyum süreçlerinin karmaşıklıklarını yönetirken, düzenleyici gelişmeleri takip etmeli ve güçlü bir veri yönetim kültürünü teşvik etmelidir. Uyum konusuna proaktif bir yaklaşım benimsemek, sadece yasal riskleri azaltmakla kalmaz, aynı zamanda paydaşlar arasında güven oluşturur. Esasen, düzenleyici gereklilikler ve en iyi uygulamalar ile uyumlu olarak hareket etmek, kuruluşların veri odaklı bir ortamda dayanıklılıklarını ve itibarlarını güçlendirmelerini sağlar.
Kişisel Verilerin Korunması Kanunu’na yasal uyumu sürdürmek için, işletmeler bu değişiklikleri en iyi şekilde benimsemeli, anlamalı ve uygulamalıdır. Yapılan değişikliklerin, veri koruma ve kişisel veri transferi yönetimi için daha net bir yol sunarken, yasal riskleri de azaltacağı kanaatindeyiz.
Sonuç
KVKK'daki bu değişiklikler, Türkiye'nin veri koruma çerçevesini uluslararası standartlarla uyumlu hâle getirme yönünde önemli bir adımı temsil etmektedir. Kuruluşlar, güçlü veri korumasını sağlamak ve önemli para cezalarından kaçınmak için bu değişiklikleri takip etmeli ve uyum sağlamalıdır.
İşletmenizin bu değişikliklerden nasıl etkileneceği hakkında daha detaylı bilgi almak için bizimle iletişime geçin.
İletişim Bilgileri
Boss Yönetişim Hizmetleri A.Ş.
Astoria Towers Kempinski Residence
Büyükdere Caddesi No:127 B Blok Kat:8 34394 Esentepe / Şişli / İstanbul / TÜRKİYE
+90 212 244 92 22