KİŞİSEL VERİLERİMİZE PERİYODİK BAKIM:
KİŞİSEL VERİLERİN KORUNMASI KANUNU’NDA YAPILAN YENİ DEĞİŞİKLİKLER
Son yıllarda dijitalleşmenin hızla artmasıyla birlikte, kişisel verilerin korunması konusu büyük bir önem kazandı. Ülkemizde de bu konuda adımlar atıldı ve düzenlemeler yapıldı. Bu düzenlemelerin en önemli olanı, artık hayatımızda olan Kişisel Verilerin Korunması Kanunu’dur.(KVKK).
12 Mart 2024 tarihinde, 32487 sayılı Resmi Gazetede yayımlanan, 7499 numaralı kanunla yapılan değişiklikle birlikte, KVKK’da önemli güncellemeler yapıldı. Yapılan güncellemelerin yürürlüğe gireceği tarih 1 Haziran 2024, değişikliklere uyum için son tarih 1 Eylül 2024.
Yapılan değişiklikleri ve bunların muhtemel sonuçlarına ilişkin değerlendirmelerimiz şu şekilde;
A) ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN İŞLENME ŞARTLARI (KVKK MADDE 6)
KVKK’nın 6. maddesinde yapılan değişiklikle özel nitelikli kişisel verilerin işlenmesine ilişkin kurallar yeniden düzenlendi. Artık özel nitelikli kişisel verilerin işlenmesi belirli koşullar altında mümkün hale geldi. Bu da şirketlerin bu tür verileri daha dikkatli bir şekilde işlemesi gerektiği anlamına gelmektedir.
Başlamadan, özel nitelikli kişisel verinin ne olduğunu hatırlatalım. Özel nitelikli kişisel veriler kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileridir.
Eski kanun maddesi özel nitelikli kişisel veriler konusunda bir hayli katıydı. Öyle ki işlenmesi için, ilgili kişinin açık rızası dışında sadece sağlık ve cinsel hayat verileri açısından ancak kanunlarda öngörülen hallerde, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşların olması gerekiyordu.
Yıllar geçtikçe özel nitelikli veri işleme konusundaki uyumsuzluklar pratikte baş göstermeye başladı. Eskiden özel nitelikli verilerin işlenmesi için (sağlık ve cinsel hayat verileri hariç) kişinin rızası gerekliydi. Yeni düzenleme ile (ı) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, (ıı) kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (ııı) ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, (ıv) bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, (v) sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, (vı) istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, (vıı) siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması hallerinde işlenmesi mümkün hale getirildi.
Yapılan düzenlemelerin amacı Avrupa Birliği Genel Veri Koruma Tüzüğü gibi bir kanuna sahip olma isteğiydi. Avrupa Birliği, temel almaya çalıştığımız tüzüğü henüz kanunumuz resmi gazetede yayınlanmadan yeniden düzenledi. Biz eski tüzüğe göre kanunundaki değişiklikleri kabul ettik. Eski düzenlemede sağlık verisini sadece Sosyal Güvenlik Kurumu ve Sağlık Bakanlığı ile sağlık kuruluşları işleyebilmekteydi. Ancak başta sigortacılık sektörü olmak üzere, çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarında sağlık verisine ihtiyaç duyulmaktadır. Yapılan değişiklikle, özel nitelikli kişisel verilerin işlenme şartları, güncel ihtiyaçlar ve Avrupa Birliği Genel Veri Koruma Tüzüğü GVKT nazara alınarak (eski hali) yeniden düzenlendi.
Maddenin ikinci fıkrasında özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm halen bulunmaktadır ve özel nitelikli kişisel verilerin işlenebileceği haller, sıralı olarak tek tek sayılmaktadır. Bu fıkrada sayılan durumlardan birinin varlığı halinde özel nitelikli kişisel verilerin işlenmesi hukuka uygun kabul edilecektir.
İkinci fıkranın (a) bendine göre, ilgili kişinin açık rızasının bulunması halinde özel nitelikli kişisel verileri işlenebilecektir. KVKK md. 5 f. 1’e göre; açık rızaya ilişkin kabul gören bütün hususlar, bu madde kapsamında da geçerliliğini korumaktadır.
Fıkranın (b) bendine göre, kanunlarda açıkça öngörülen hallerde özel nitelikli kişisel veriler işlenebilecektir. Aslında yapılan değişikliğin en önemli edinimi, kanunlarda öngörülmesi halinde artık kişisel sağlık verilerinin de işlenebileceğidir. Eski kanunla bu fıkranın temel farklılığı budur. Yeni bir kanun çıkartılarak ya da değiştirilerek bu maddeye uygun veri işleme yetkisi tahsis edilebilecektir. Bu bent dâhilinde anlattıklarımdan sigorta şirketleri yararlanacak gibi görünmektedir. Kanun’un eski halinde ciddi sınırlamalar mevcuttu. Sigorta şirketleri açık rızaya dayalı olarak kişisel sağlık verilerini kullanabiliyor ve işleyebiliyorlardı. Bu bentteki güncellenen yeni hüküm sayesinde, Ticaret Kanunu’nun 1497., 1519. ve 1435. hükümlerine dayanarak poliçelerini hazırlayabileceklerdir. Ayrıca farklı örnek olarak, Adli Sicil Kanunu ve PVSK 5. madde ile parmak izi alınması da hukuka uygun olacaktır.
Fıkranın (c) bendinde fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde özel nitelikli kişisel verilerin işlenmesine imkân tanınmaktadır. Bilinç kaybından ötürü o anda rızasını açıklayamayacak durumda olan birinin, hayatının veya beden bütünlüğünün korunması amacıyla kişisel sağlık verilerinin acil durumlarda işlenebilmesi mümkün hale gelmektedir. Bu sayede de anlık olarak kan grubu bilgileri ve hastalık geçmişi özeti veya alerji bilgileri gibi özel nitelikli kişisel verilere erişim açılmaktadır.
Fıkranın (ç) bendi uyarınca, ilgili kişinin özel nitelikli kişisel verilerini alenileştirmesi halinde, bu verilerin alenileştirme iradesine uygun olarak işlenmesine imkân tanınmaktadır. Yani bu bentteki özel nitelikli kişisel veri işleme şartına dayanabilmek için ilgili kişinin alenileştirme iradesine riayet etmek gerekecektir. Fakat burada şöyle bir sorun oluşmaktadır, bu veri nasıl aleni hale getirilmiş? Veri bilinçli olarak mı aleni hale getirilmiş yoksa irade dışında mı? Ben bu konuda çok kısa sürede uyuşmazlıkların oluşacağını ve kuruldan bu konu hakkında emsal kararların çıkacağını düşünüyorum. Genellikle anonimleştirilmiş veriye ilişkin konularda, Türkiye’de sıkça sorunlar oluşmaktadır. İşte bu sebeple kurul, 16.12.2020 tarihinde, Alenileştirme Hakkında Kamuoyu Duyurusu paylaşmıştı.
“Kişisel verinin, aleni kabul edilebilmesi için öncelikle ait olduğu kişinin aleni olmasını istemesi, başka bir ifade ile bu yönde bir iradesinin var olması gerekir. Bu anlamda tek başına kişisel verinin kamuoyuna açık hale gelmesi, örneğin herkesin görebileceği bir yerde olması ya da herkesin erişimine açık durumda bulunması alenileştirilmiş olması bakımından yeterli olmamakta; eylemin, ilgili kişinin iradesi ile de desteklenmesi gerekmektedir. Kişinin iradesi dışında bir sebeple kişisel verinin kamuoyuna açıklandığı durumlarda Kanun kapsamında bir alenileştirmeden söz etmek mümkün olmayacaktır.”
Link: https://www.kvkk.gov.tr/Icerik/6843/-ALENILESTIRME-HAKKINDA-KAMUOYU-DUYURUSU
İlgili Örnek Karar: https://kvkk.gov.tr/Icerik/6623/2019-33
İşte bu çerçevede bu bent dikkate alınmak zorundadır. Çünkü bu bent ile bağlantılı çok fazla konu vardır ve onlardan birisi yapay zeka konusudur. Bununla ilgili ayrı bir metin hazırlayacağım. Yapay zekâ algoritmalarının eğitilmesi gerekmektedir. Bu eğitimler ham veriler ile gerçekleşmekte olup, KVKK’ya uygun olarak anonim olmalıdır.
Fıkranın (d) bendine göre özel nitelikli kişisel veriler, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması halinde işlenebilecektir. Aslında bu madde temel olarak dava süreçleri için kabul edilmektedir. Düzenleme öncesinde, mahkemece celbi talep edilmeyen veriler dosyaya avukat tarafından konulduğunda, veri ihlaline neden olabiliyordu. Şikâyetler üzerine verilmiş pek çok KVK Kurum kararı bulunmaktadır. Bu yüzden genellikle KVKK’ya aykırılık oluşmaması için avukatlar; delil vb. kişisel veri içeren belgeleri dosyaya müvekkilleri aracılığı ile sunmaktaydılar. Çünkü bilindiği gibi, avukatlar her ne kadar Verbis kaydı yapmıyor ise de veri işlediği için veri sorumlusu sıfatına sahiptir. Bu yeni düzenleme ile birlikte adli ve idari yargı, soruşturma, kovuşturma, arabuluculuk ya da tahkim süreçlerinde, avukatların mesleklerini icra ederken özel nitelikli kişisel veri işleyebilmeleri mümkün hale gelmektedir. Biraz somutlaştıralım. İşverenin, işçisini çıkardıktan sonra işçinin açabileceğini öngördüğü bir davada delil olarak sunmak istediği sağlık verileri ya da engelli kişinin ÖTV muafiyetli araç alımında kullanacağı sağlık verilerinin vergi dairesince işlenmesi bu duruma verilebilecek örneklerdir.
Fıkranın (e) bendiyle, özel nitelikli kişisel verilerin; kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinin gerekli olması, başka bir veri işleme şartı olarak düzenlenmektedir. Artık Sağlık Bakanlığı’nın ve her türlü sağlık kuruluşunun bu bentte yazılı amaçlarla tuttukları veriler ve kayıtlar hukuka uygun hale gelmiştir.
Fıkranın (f) bendine göre özel nitelikli kişisel veriler; istihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması durumlarında da işlenebilecektir. Ancak şuna değinmek gerekir, bu hükmün başlı başına bir işleme şartı niteliği bulunmamaktadır ve sayılan amaçlarla sınırlı olarak veri işlenebilmektedir. Burada yükümlülüğün kaynağı sözleşme de kanun da olabilecektir. Borçlar Kanunu madde 419’da belirtildiği üzere:
“ İşveren, işçiye ait kişisel verileri, ancak işçinin işe yatkınlığıyla ilgili veya hizmet sözleşmesinin ifası için zorunlu olduğu ölçüde kullanabilir.”
Şimdi bu kapsamda ilgili maddenin metnine bakıldığında bir veri işleme durumu mevcut olup, haliyle bu verinin işlenmesi gerekmektedir. Yani (f) bendinde bulunan hüküm uyarınca maddenin hükmü yerine getirilebilecektir. Benzer olarak 6356 sayılı Sendikalar ve Toplu İş Sözleşmeleri Kanunundaki üyelik aidat işlemleri yada 6331 sayılı İş Sağlığı ve Güvenliği Kanunu kapsamında iş kazalarına, meslek hastalıklarına ilişkin bir kayıt tutma işlemi de (f) bendi kapsamında değerlendirilecektir. Somut olarak, 4857 sayılı İş Kanunu ile işverenlere verilen engelli veya hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından, kişilerin sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işverenlerce işlenmesi mümkün hale gelecektir.
Fıkranın (g) bendinde; siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından, özel nitelikli kişisel verilerin bir bölümünün işlenebilmesi düzenlenmektedir. Şimdi bu hükme göre kuruluş ve oluşumlar, mevcut ve eski üyeleri ile bu kuruluş ve oluşumlarla düzenli olarak temas halinde olan kişilerin özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun olarak, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Peki, bu ne demek?
Mesela bu bent kapsamında sayılan bir kuruluş; halen mevcut olan üyelerinin veya eski üyelerinin, düzenli olarak bağışların toplanması konusunda verilerini işleyebilecektir. Aynı zamanda önemli bir nokta da “kendisi ile temas halinde olan kişilerin” verilerini de bu bent hükmü gereğince işleme hakkına sahip olabilecektir.
B) KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI (KVKK MADDE 9)
Halen kullanımda olan Kanun’un yürürlüğe girdiği tarihten itibaren yurt dışına gönderilen veriler açısından farklı sorunlar yaşanmaktaydı.
Yurt dışına veri aktarmak için öncelikle veri sahibinden açık rızasının alınması gerekiyordu. Açık rıza alınsa dahi verinin aktarılacağı ülkenin KVK Kurumu tarafından güvenli ilan edilmiş olması gerekiyordu. ( Kurumun şimdiye kadar Mütekabiliyet İlkesi nedeniyle böyle bir kararı mevcut değildir.) Verilerin aktarılacağı ülke de tamamsa, bir taahhütname ve şirketlerin bağlayıcı kuralları dâhilinde aktarım mümkün olabiliyordu. Hepimiz Google servislerini kullanırken ABD’ye kişisel veri transferi yapıyorduk. İşte bu yüzden çok nadir taahhütnameler kurul onayından geçti. Yurt dışına veri aktarımı açık rıza ile yapılmaya çalışıldı. Ayrıca bu durum, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün sistematiğine de aykırılık oluşturuyordu. Çünkü değişiklikten önceki kanununda, kişi verdiği açık rızayı, istediğinde geri alarak unutulma hakkını da kullanabiliyordu. Ancak veri bir kere yurt dışına gittiğinde sonrasında neler olduğu, amacı dışında ne için işlendiği bilinmiyordu. Silinme, anonimleştirme gibi talepler birçok engelle karşılaşıyordu.
Yukarıda anlatıldığı üzere, kabaca, kişinin rızası olmaksızın yurt dışına veri aktarılması uygulamada mümkün olmadığından buna bir çözüm getirilmesi gerekiyordu. Bahsedilen sorunların çözümü, 9. Maddedeki değişiklik ile gerçekleştirildi.
MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.
(2) Yeterlilik kararı kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik karan, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.
(3) Yeterlilik karan verilirken öncelikle aşağıdaki hususlar dikkate alınır:
a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.
(4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:
a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
(5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.
(6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:
a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
(7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.
(8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.
(9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.
(10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.
Düzenleme yeni bir sistematik ile karşımıza çıkarak 3 aşamadan oluşmaktadır. Bunlar, (ı) güvenli ülke kararı, (ıı) böyle bir kararın bulunmadığı durumlarda uygun güvenceler, (ııı) uygun güvencelerin de mevcut olmadığı takdirde arızi hallere ilişkin aktarım şartları. Peki, bu işlemlerin muhatabı kim? Artık sadece veri sorumlusu değil, veri işleyen de yurt dışına veri aktarıyorsa kanuni olarak sorumlu tutulmaktadır.
Kanundaki değişikliklerden olan “yeterlilik kararı” kapsamına bakıldığında kurul bunu değerlendirip resmi gazetede yayınlayacağını açıklamıştır. Bugüne kadar kurul tarafından ilan edilen güvenli ülke bulunmuyordu, ancak artık yeterlilik kararı sadece ülke bazında değil, uluslararası kuruluşlar ve sektörler bazında da verilebilecektir. Ayrıca ilgili ülkenin mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar, ülkenin yada kuruluşun veri koruma konusunda kurumunun bulunması ve adli idari başvuru yapılabilecek bir yolun mevcudiyetine bakılacaktır. Verilerin aktarılacağı ülkenin uluslararası sözleşmelere taraf olması, uluslararası kuruluşlara üye olması yeterlilik kararının değerlendirilmesinde detaylandırılacak konulardan. Güvenli ilan edilecek kuruluşun, Türkiye’nin de üye olduğu uluslararası kuruluşlarda yer alması, değerlendirmede önemli bir kıstas olacaktır. Örnek olarak ülkemizdeki otomotiv sektörünün çoğunlukla ticari ilişki içerisinde bulunduğu İtalya, Fransa gibi yabancı ülkelerin tamamı yerine, ülkedeki otomotiv yada -hangi sektör ise — ilgili sektör açısından yeterlilik kararı verilmesi artık mümkün hale gelmektedir. İlerleyen süreçte kurul kimleri, ne açıdan güvenli olarak işaretleyecek, verilecek kurul kararları ile öğreneceğiz.
Yukarıda aktarım izni kararının nasıl verileceğini kısaca özet geçtik. Kanun yeni güncellemesi ile beraber bu konuya belli şartlar getirmektedir. Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı halinde, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, uygun güvenceler sağlanırsa, veriler yurt dışına gönderilebilecektir.
Peki, “uygun güvenceler” nelerdir? Şöyle ki; bu güvenceler 4 başlık altında toplanmaktadır. (a) bendine göre yurt dışında bulunan kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasındaki -uluslararası sözleşme niteliğinde olmayan- anlaşmaların olması halinde eğer kurul izin verirse yurt dışına veri aktarılabilecektir. Bu tür aktarım konusunda Avrupa Veri Koruma Kurulu’nun (EDSA) yayınlamış olduğu bir rehber vardır. Tahminimizce Türk İdare Hukuku ile bu tür protokol esasları harmanlanarak bir yol çizilecektir. Fakat unutulmamalıdır ki bu protokol uluslararası bir anlaşma statüsünde değildir.
(b) bendinde; aynı teşebbüs grubundaki şirketlerin uymakla yükümlü oldukları ve kişisel verilerin korunmasına ilişkin hükümler ihtiva eden kurulun onayladığı bağlayıcı şirket kuralları bulunmaktadır. Tıpkı (a) bendinde olduğu gibi kanunun 5. ve 6. maddelerinde sayılan veri işleme şartlarından biri varsa, aynı grubun yabancı ülkedeki şirketine kuruldan ayrıca izin alınmaksızın veri aktarması mümkün olacaktır. Aynı ortak ekonomik faaliyette bulunan teşebbüs grupları da bu fıkranın tanıdığı imkândan yararlanacaktır. Kurul, şirket kurallarına onay verdikten sonra veriler yurt dışına aktarılabilecektir.
(c) bendinde ise yurt dışına veri transferi için en çok kullanılacak olan uygun güvence “Standart Sözleşme” konusuna değinilmektedir. Kanunun mevcut halinde, taahhütnamelerin onaylanma sürelerinin bir hayli uzaması nedeniyle yurt dışına veri aktarımı için bu yöntem tercih edilmiyordu. Bu durumda tek alternatif veri sahibinden açık rıza alınmasıydı. Yeni yapılan güncelleme ile beraber standart sözleşmeler kurul tarafından ilan edilecek. İmzalanması halinde kurulun ayrıca bir iznine gerek olmaksızın yurt dışına veri aktarılması mümkün olacak. Çok büyük ihtimalle resmi olarak ilan edileceği için, standart sözleşmedeki maddelerde değişikliğe gidilmesi de mümkün olmayacak gibi görünmektedir. Sözleşme içeriği; veri kategorileri, veri aktarımın amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemleri barındıracaktır. Onay şartı kaldırılarak, veri sorumluları ve veri işleyenlere bildirim yükümlülüğü getirilmektedir. Sözleşme imzalandıktan sonra 5 iş günü içerisinde kuruma bildirilmelidir. Aksi halde cezası 50.000TL’den 1.000.000TL’ye kadar idari para cezası, cezaya itiraz ise İdare Mahkemelerine.
Son olarak (ç) bendi yazılı taahhütnameden bahsetmektedir. Yurt dışına veri aktarımında bulunmak isteyenler, standart sözleşme hükümleri dışında yeterli korumayı sağlayacak hükümlerin yer aldığı bir sözleşme ile aktarımı hukuka uygun şekilde gerçekleştirebilecektir. Ancak bu sözleşme Kurul tarafından onaylanmalıdır.
Şimdiye kadar yurt dışına veri aktarımı için uygun güvencelerin üzerinden geçtik, ancak gündelik hayatta her veri aktarımını uygun güvenceye dayandırmak çoğu zaman mümkün olmamaktadır. Peki uygun bir güvence olmaması halinde, mesela acil bir durum varsa nasıl aktarımda bulunacağız? Kanunumuz bize bu durumu “Arızi Haller” olarak sıralamaktadır. 9. Maddenin 6. Fıkrası “Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir.” şeklinde karşımıza çıkmaktadır.
Sayılan hükümler her ne kadar istisna ise de pratikte ve gündelik yaşamda çok büyük önem arz edecektir. Ancak yurt dışına yapılacak veri aktarımı “sürekli ve düzenli” olarak gerçekleştirilecek ise artık “arızi haller” konusundan bahsedilemeyecektir. Ek olarak bu duruma bir sefere yada sınırlı sayıya mahsus şeklinde de bir sınır da çizilmemelidir. Burada yapılması gereken ayrım yurt dışına yapılacak olan veri transferinin sistematik ve uzun vadeli mi yoksa düzensiz bir aktarım mı olacağıdır.
Kanunda arızi haller; ilgili kişinin, (ı) muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi, (ıı) aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, (ııı) aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması, (ıv) aktarımın üstün bir kamu yararı için zorunlu olması, (v) bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması, (vı) fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması, (vıı) kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması şeklinde sayılmaktadır.
Çok detaya girmeden örnekler vermek gerekirse bankalar üzerinden gerçekleştirilen para transferleri ya da yurt dışına veri transferi yapması gereken seyahat acentelerinin aktarımları (b) bendi ile ilgili olacaktır. İlgili kişinin lehtar olması durumunda yabancı firmalar ile uzaktan kurulan sözleşmeler (c) bendi, her türlü kamusal menfaat ( mesela rekabet, vergi, gümrük, kamu güvenliği, kamu sağlığı, doping süreçleri, kara para aklanmasına karşı işlemler ) (ç) bendi dahilinde değerlendirilecektir. Her türlü idari işlem, kamu tarafından başlatılan soruşturma süreçleri, tahkim vb. süreçler (d) bendinin konuları olacaktır.
C) KABAHATLER (MADDE 18)
Kanunun 18. Maddesinde değişiklik yapıldı. Bu madde kabahatlere ilişkin ve değişiklikler ise şu şekilde; 1. Fıkraya (d) bendi eklendi. Diyor ki; “9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.” Yani anlamı daha önce de anlattığımız üzere Standart Sözleşme imzalanırsa 5 gün içerisinde kuruma bildirilmesi gerekmekte, aksi halde (d) bendi devreye girmektedir. Bildirimin belirtilen süre içerisinde yapılmaması ise bir kabahat olarak kabul edilmektedir.
2. Fıkra değişikliği ile, “Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.” şeklinde bir düzenlemeye gidilmiştir. Yani verilerin yurt dışına aktarılması durumunda artık sadece veri sorumlusu değil, veri işleyen de kurum açısından sorumluluk altındadır. Bu durumda yükümlülüklere aykırılık açısından veri işleyenlere yaptırım uygulanabilecektir. Peki bu değişikliğe nasıl bakmalıyız? Hayatımızda neleri değiştirecek? Açıkçası değişen bu madde ile özellikle bulut bilişim hizmeti sunan teknoloji şirketlerinin, yurt dışından hizmet aldıkları tedarikçileriyle standart sözleşme akdetmeleri gerekmektedir. Çünkü bir veri sorumlusu, yurt içindeki bir veri işleyiciye kişisel veri aktarıyorsa ve bu veri işleyici de yurt dışına veri aktarıyorsa, artık KVKK madde 9'a ilişkin yükümlülüklerin sorumlusu veri işleyici olacak ve uyumsuzluk durumunda yaptırımlar veri işleyiciye yönelik olarak da uygulanacaktır.
Eski 3. Fıkra, 4. Fıkra olarak karşımıza çıkmaktadır. Yeni 3. Fıkra da bir yenilik barındırmaktadır. Düzenleme şu şekilde; “Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.” Kişisel veri hukuku birçok teknik detayı içermektedir. Bu nedenle, Kişisel Verileri Koruma Kurulu kararlarına yönelik yapılan itirazların çoğunun, Sulh Ceza Hâkimlikleri tarafından yeterince incelenmediği bilinen bir gerçektir. Hatta Anayasa Mahkemesi, bu eksik incelemeler sonucunda mülkiyet hakkının ihlal edildiği sonucuna varmıştır. (Anayasa Mahkemesi,15.12.2023 tarihli Resmi Gazetede yayımlanan 12.10.2023 tarih ve 2020/7518 başvuru numaralı karar). Bu nedenle, artık itirazların Sulh Ceza Mahkemeleri yerine İdari Mahkemelerde yapılmasına karar verilmiştir. Bu değişiklik, Kurul kararlarının daha dikkatli bir şekilde denetlenmesini sağlayacak ve kişisel verilerin korunması hususunda hakların daha doğru korunmasına yardımcı olacaktır. Yapılan bu büyük değişiklik ile birlikte, idare hukukunda yeni uzmanlıkların oluşacağı düşüncesindeyim.
Evet, anlatacaklarımız bu kadar. Umarım sıkılmadan, yeterli bilgiyi alarak okumuşsunuzdur. Teşekkürler.
KAYNAKÇA
1-) Kişisel Verilerin Korunması Hakkında Kanun
2-) 5684 sayılı Sigortacılık Kanunu
3-) Çekin, M.S. (2024). KVKK Değişiklikleri Kısa Şerh Çalışması. Türk Alman Üniversitesi
4-) Atakan, A. (2024). Kişisel Verilerin Korunması Kanunu Değişikliklerini İlişkin Bilgi Notu
5-) General Data Protection Regulation (GDPR)
6-) 6098 sayılı Türk Borçlar Kanunu
7-) 6102 sayılı Türk Ticaret Kanunu
8-) 6356 sayılı Sendikalar ve Toplu İş Sözleşmeleri Kanunu
9-) 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
10-) 4857 Sayılı İş Kanunu
11-) 5352 sayılı Adli Sicil Kanunu
12-) 2559 sayılı PVSK
13-) 2019/33 Sayılı Kişisel Verileri Koruma Kurulu Kararı
14-) Kişisel Verileri Koruma Kurulu Kamuoyu Duyurusu
