12.03.2024 tarihli Resmi Gazete’de yayımlanan, 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 6598 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun (“Değişiklik Kanunu”) ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) ilişkin önemli değişiklikler getirilmiştir.
Değişiklik Kanunu ile (i) özel nitelikli kişisel veri işleme sebeplerinde, (ii) yurtdışına kişisel veri aktarımına ilişkin şartlardave (iii) yargı yoluna ilişkin süreçte değişiklikler yapılmış olup bu bu değişiklere ilişkin detaylar aşağıda bilgilerinize sunulmuştur.
Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Değişiklikler
KVKK’nın 6. maddesinde düzenlenmiş olan özel nitelikli kişisel verilerin hukuki işleme sebepleri genişletilmiş ve 5. maddedeki hukuki işleme sebepleriyle uyumlu hale getirilmiştir. Başka bir deyişle; özel nitelikli olan ve olmayan kişisel veriler bakımından benzer hukuki işleme sebepleri öngörülmüştür.
Getirilen yeni hukuki işleme sebeplerinden en önemlisi, “istihdam, iş sağlığı ve güvenliği, sosyal güvenlik ile alakalı hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması” halidir. Böylelikle; 4857 Sayılı İş Kanunu ile işverenlere yüklenen engelli ve hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından kişilerin sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işlenmesi için artık açık rıza alınması gerekmeyecektir. Bunun gibi; istihdam ilişkinin kurulması aşamasında çalışan adayının “çalışma yeterliliğini” değerlendirmek için adayın verilerinin işlenmesinin zorunlu olması halinde de açık rızaya başvurulması gerekmeyecektir. Bu anlamda işverenlerin, insan kaynakları ve işe alım süreçlerinde kullandığı aydınlatma metinlerini ve uyguladığı süreçleri gözden geçirerek, yeni değişikliklere uyumlu hale getirmesi ve çalışan adayı veya çalışanlardan temin ettiği çeşitli açık rızaların gerekliliğini yeniden değerlendirmesi gerekmektedir.
Özel nitelikli kişisel veriler için Değişiklik Kanunu ile getirilen hukuki işleme sebeplerinden önemli bir diğeri ise; “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”dır. Bu sebebe dayalı olarak özel nitelikli kişisel veri işlenmesi her bir veri işleme faaliyeti özelinde dikkatle incelenmelidir. Somutlaştırmak gerekirse, gerekçede de belirtildiği üzere işverenler, iş sözleşmesinin sonra ermesinden sonra da çalışan tarafından açılması muhtemel bir davada savunma hakkını kullanabilmek için, işçinin sağlık verilerini açık rızaya ihtiyaç duymaksızın -ilgili kanunda belirtilen süreyle sınırlı olmak kaydıyla- saklamaya devam edebilecektir.
Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Değişiklikler
Değişiklik Kanunu ile kademeli ve üç alternatifli bir yurtdışına veri aktarım sistemi getirilmiştir. Konu ile ilgili usul ve esasların yönetmelikle düzenleneceği belirtilmiş ve 09.05.2024 tarihinde Kişisel Verileri Koruma Kurulu’nun (“Kurul”) internet sitesinde, Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik Taslağı (“Yönetmelik Taslağı”) yayımlanmıştır.
Getirilen alternatiflerden ilki; yine KVKK'nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında Kurul tarafından verilmiş yeterlilik kararı bulunmasıdır. Bu yöntemde getirilen yenilik; aktarımın yapılacağı ülkelerin yanında uluslararası kuruluşlar ve ülke içerisinde sektörlerin de yeterlilik kararına konu olmasına imkân tanınmış olmasıdır.
İkinci olarak; yeterlilik kararı bulunmaması durumunda, KVKK'nın 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı ve ilgili kişinin, aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, taraflardan birinin uluslararası güvencelerden birini sağlamasıdır. KVKK’ya bu şekilde getirilen en önemli yenilik; ilgili kişinin, aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunduğunun kişisel verileri aktaracak olan veri sorumlusu veya veri işleyenlerce tespit edilmesidir. Bu husus, Avrupa Birliği mevzuatında “kişisel veri transfer etki analizi (transfer impact assessment veya TIA)” olarak geçmektedir. Yeni rejim uyarınca veri sorumlularının ve veri işleyenlerin kişisel verilerin aktarılacağı ülke, uluslararası kuruluş veya sektöre yönelik kapsamlı bilgi sahibi olmaları gerekmekte olup veri sorumluları ve veri işleyenler bu kapsamda ispat ve hesap verme yükümlülüğü altında olacaktır. Belirtmek gerekir ki, inceleme tek seferlik gerçekleştirilecek bir işlem olmayıp söz konusu incelemenin güncelliği, kişisel veri aktarım süreci devam ettiği sürece temin edilmelidir.
Transfer etki analizinin yanı sıra, ilgili maddede 4 (dört) adet tahdidi güvence şekli sayılmıştır. Bu güvencelerden en önemlisi; Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin imzalanması olup bu sözleşmenin imzalanmasından itibaren 5 (beş) iş günü içerisinde söz konusu ilgili sözleşme, Kişisel Verileri Koruma Kurumu’na taraflardan biri tarafından bildirilmelidir. Bildirim yapılmaması durumu, KVKK’ya yeni bir kabahat olarak da eklenmiş ve yaptırım için 50.000 TL ile 1.000.000 TL arasında idari para cezası öngörülmüştür. Önemli olarak; kişisel verilerin yurt dışına aktarılmasında veri işleyenlerin de veri sorumlularıyla birlikte idari para cezalarından dolayı sorumlu olduğu esası kabul edilmiştir. Bu şekilde yapılacak aktarımlar, Kurul’dan önceden izin almaksızın doğrudan gerçekleştirilebilecek olsa da bildirim şarttır. Yönetmelik Taslağı’nda, bildirimin fiziki olarak, KEP adresi üzerinden veya Kurul tarafından belirlenen diğer yöntemlerle yapılacağı belirtilmekte olup Kurul’un herhangi bir kolaylaştırıcı elektronik sistem uygulayıp uygulamayacağı ilerleyen zamanlarda görülecektir. Önemle belirtmek gerekir ki, standart sözleşmenin, üzerinde herhangi bir değişiklik yapılmaksızın kullanılması zorunlu olup sözleşmelerin birebir uygulanması beklenmektedir. Sözleşmede değişiklik yapılması halinde Kurul tarafından yeniden inceleme yapılacaktır.
Diğer uygun güvenceler; (i) yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi, (ii) ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı ve (iii) yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesidir. Kurul’a yazılı taahhütname sunma ile çokuluslu grup şirketler için bağlayıcı şirket kurallarını sunma güvenceleri halihazırdaki düzenlemelerde mevcut olup Yönetmelik Taslağı’nda görüldüğü üzere, içerikleri detaylandırılmış ve sıkılaştırılmıştır.
Son ve üçüncü alternatif ise; yeterlilik kararının bulunmaması veya uygun güvencelerden herhangi birinin sağlanamaması durumunda, sürekli olmamak kaydıyla ilgili maddede sayılan hallerden birinin varlığı halinde yurt dışına kişisel veri aktarılmasıdır. Yönetmelik Taslağı’nda, “düzenli olmayan, tek veya birkaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan” aktarımların arızi nitelikte olduğu belirtilmiştir. Güncel durumda uygulamada açık rıza ile yurtdışına veri aktarımı yapılıyorken, yeni düzenleme ile açık rızaya dayalı yurt dışına kişisel veri aktarımı arızi hallerle sınırlandırılmıştır ve açık rızaya muhtemel riskler hakkında bilgilendirme unsuru eklenmiştir. Eğer ki aktarım süreklilik arz ediyorsa ilgili kişiden açık rıza alınsa dahi, aktarım hukuka aykırı olarak kabul edilecektir. Bu durumun tek istisnası; KVKK'nın 5. ve 6. maddelerinde belirtilen şartlardan biri olması sebebiyle açık rızanın varlığı halinde de uygun güvence olarak sayılan standart sözleşmenin imzalanması ve Kurul’a bildirilmesidir.
Önemle belirtmek gerekir ki; kişisel verilerin açık rızaya dayalı yurt dışına aktarılması, 01.09.2024 tarihine kadar eski kanun hükümlerine göre devam edebilecektir. Başka bir deyişle, yalnızca açık rıza ile yurtdışına veri aktarımı konusunda getirilen değişikliklere uyum için 3 aylık bir ek süre tanınmıştır.
Yurtdışına veri aktarımı konusunda getirilen önemli yeniliklerden birisi ise; yukarıdaki açıklamalarımızdan da anlaşılacağı üzere, veri sorumlularının yanında veri işleyenlerin de yurtdışına veri aktaran kişiler olarak doğrudan sayılması ve beraberinde sorumluluklarının doğmasıdır. Her halükarda; Yönetmelik Taslağı’nda da açıkça belirtildiği üzere kişisel verilerin veri işleyen tarafından yurt dışına aktarılması ve mevzuatta öngörülen usul ve esaslara uyulması ile güvencelerin sağlanması hususunda veri sorumlusunun sorumluluğunu ortadan kaldırmayacaktır.
Yargı Yolu
Mevcut durumda Kurul’un idari para cezalarına karşı sulh ceza hakimliğine başvurulurken idari para cezası dışında kalan kısmı için ise idari yargıya başvurulmaktadır. Değişiklik Kanunu ile birlikte idari yargı yolu; Kurul işlemlerinin tamamına karşı tek bir yargı yolu olarak belirlenmiştir. Bununla birlikte; 01.06.2024 tarihi itibarıyla halihazırda sulh ceza hâkimliğinde görülmekte olan başvurular, bu hâkimliklerde görülmeye devam edecektir.
Sonuç
Değişiklik Kanunu ile KVKK’ya getirilen yeni düzenlemeler, uygulamadaki bazı sorunların giderilmesi ve KVKK’ya uyumun artması için oldukça faydalı görünmektedir. Bilhassa, çalışanların sağlık veya adli sicil kaydı gibi özel nitelikli kişisel verilerini açık rızaya dayandırmak zorunda kalan işverenler için özel nitelikli kişisel verilerin işleme sebeplerini genişletmek, uygulamada işveren ve çalışanların karşılaştıkları açık rıza zorunluluğunun ortadan kalkması için oldukça faydalıdır.
Yargı yolunda yapılan değişiklik de, mevcut durumda var olan Kurul kararlarına karşı ikili denetleme uygulamasının son bulması açısından son derece isabetlidir.
Bununla birlikte; yurtdışına veri aktarımı konusunda aktarım yöntemlerinin genişletilmesi ve detaylandırılması her ne kadar faydalı bir adım olsa da uygulamada karşılaşılan sorunlara tamamen çözüm getirdiği söylenemeyecektir. Nitekim uygulamada çoğu veri sorumlusu (veya veri işleyen), sunucuları birçok farklı ülkede bulunan bulut hizmet sağlayıcılara kişisel veri içeren dosya veya belge yüklemek ile yurtdışına veri aktarımı yapmaktadır.
Esasen Değişiklik Kanunu gerekçesinde, değişikliğin temel nedeni olarak “ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurtdışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği gibi, Ülkemize yapılacak yatırımları da engelleyici bir hal” alması gösterilmiştir. Ancak, söz konusu bulut hizmet sağlayıcıları dünyaca faaliyet gösteren çokuluslu hizmet sağlayıcılar olup bu şirketler, bu tür standart sözleşmeleri veya taahhütnameleri her bir hizmet alımı için imzalamamakta ve çoğu zaman söz konusu bulut hizmetleri doğrudan internet üzerinden herhangi bir müzakere süreci yönetilmeden alınmaktadır. Bu sebeple yeni düzenlemelerde yer alan yurtdışına veri aktarımı yöntemlerinin, bulut hizmet sağlayıcılarından hizmet alınması yöntemiyle yurtdışına veri aktarımı konusunda nasıl bir çözüm sağlayacağı merak konusudur.
Bunun dışında, yukarıdaki açıklamalarda görüldüğü üzere standart sözleşmenin imzası dışındaki tüm yöntemlerde Kurul’un onayı aranmakta olup Yönetmelik Taslağı’nda açıkça belirtildiği üzere Kurul onayı aranan durumlarda kişisel veri aktarımına, ancak Kurul tarafından izin verilmesinden sonra başlanabilmektedir. Bugüne dek, Kurul’un uygulamada onay sürecinin oldukça uzun sürdüğü ve sınırlı sayıda taahhütname onayı verdiği bilindiğinden Kurul onayı gereken durumlarda yurtdışına veri aktarımı veri aktaranlar için hızlı bir çözüm olmayabilecektir. Nitekim Kişisel Verileri Koruma Kurumu’nun 2023 yılı faaliyet raporunda da yurt dışına veri aktarımına yönelik 81 taahhütnameden 48’ini sonuçlandırıldığı, 7’sine izin verilirken, 41’inin reddedildiği ve 33’ünün ise incelenmesinin devam ettiği belirtilmiştir.
Değişiklik Kanunu ve Yönetmelik Taslağı’na konu değişikliklerin uygulamada neler getireceği, önümüzdeki dönemde çıkacak ikincil düzenlemeler, Kişisel Verileri Koruma Kurulu kararları ve rehberlerle netlik kazanacaktır. Değişiklik Kanunu’nda KVKK hükümlerine ilişkin düzenlemeler 01.06.2024 tarihinde yürürlüğe girmiş olup veri sorumluları ve işleyenlerin bu tarihe kadar KVKK uygulamalarını güncel duruma uygun hale getirmiş olması gerekmektedir.
Av. Esra Tunçay
