Hukuk ve Dijital Dönüşüm Danışmanı Avukat Yunus Emre Berk ile Hukuk ve Dijital Dönüşüm Danışmanı Avukat Oğuzhan Kundak, Fintechtime Nisan 2024 sayısı için yazdı, “Kulis Dedikodusundan Gerçeğe: Kişisel Verilerin Korunması Kanunu’nda Yapılan Değişiklikler Neler Getiriyor?”.
Kişisel Verilerin Korunması Kanunu’nda Yapılan Değişiklikler Neler Getiriyor?
Kulis dedikoduları, siyaset kulislerinin olmazsa olmazıdır ve siyasetin olduğu her alanda bu dedikodular kulaktan kulağa yayılır. Bu dedikoduların bazıları kulakta hoş bir seda olarak kalıp gerçekliğe kavuşamadan kaybolup giderken bazıları da gerçek olur. Belki kulağınıza gelmiştir; siyaset ve hukukun kesiştiği yer Türkiye Büyük Millet Meclisi (“TBMM”)’nde de 2022 yılı başında bir kulis dedikodusu yayıldı. Bu dedikoduya göre; 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”)’nun Avrupa Veri Koruma Tüzüğü (“GDPR”)’ne uyumuna yönelik değişiklikleri içeren bir yasa taslağı için düğmeye artık basılmıştı. Tabi belki de Kanun’un uzun zamanda yasalaşması sebebiyle tüm uygulayıcılar bu dedikoduya mesafeli yaklaştı ve sessizce beklemeye geçti. Beklentilerle geçen 2022 ve 2023 yılı sonrası 2024 yılının soğuk bir cuma akşamı yasa taslağı TBMM gündemine geldi ve takip eden günlerde kısa sürede TBMM Genel Kurulu’nda kabul edilerek yasalaştı. Yapılan değişiklikle Kanun’un; özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen 6. maddesi, kişisel verilerin yurtdışına aktarılmasına şartları düzenleyen 9. maddesi ve kabahatleri düzenleyen 18. maddesi kapsamlı bir değişikliğe uğradı. Uygulamada en çok zorlanılan alanlarda değişiklik yapıldığı için kanun değişikliğinin adeta bir “reform” niteliğini taşıdığını rahatlıkla söyleyebiliriz. Biz de bu sayıda kişisel verilerin korunması mevzuatında yapılan bu reformu ve reformun uygulamaya olası yansımalarını inceledik. Hazırsanız başlayalım.
Özel Nitelikli Kişisel Veri Nedir ve Yeni Düzenleme Neler Getiriyor?
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veri olarak tanımlayabiliriz. Kanun değişikliğinden önce Kanun’un 6/3. maddesi saklı kalmak üzere kişisel verilerin açık rıza olmaksızın işlenmesi yasaklanmıştı. Bu durum da uygulamada neredeyse tüm sektörler bakımından çözümü zor oldukça ciddi problemlere yol açıyordu. Yapılan değişikliklerle birlikte özel nitelikli kişisel verilerin hukuki işleme sebepleri genişletildi ve Kanun’un ilgili maddesi GDPR’a oldukça yaklaştırılmış oldu. Buna göre artık özel nitelikli kişisel verilerin işlenmesi:
- İlgili kişinin açık rızasının olması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması
halinde mümkün olmuş oldu. Böylece özel nitelikli kişisel veri kategorisinde olmayan kişisel verilerin işleme şartlarını düzenleyen Kanun’un 5. maddesinde yer alan kişisel verilerin işlenmesine ilişkin temel hukuki işleme sebepleriyle özel nitelikli kişisel verilerin işlenmesine ilişkin temel hukuki sebeplerin olabildiğince uyumlu hale getirilmiş olduğunu rahatlıkla söyleyebiliriz. Buna ek olarak istihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için özel nitelikli kişisel verilerin işlenmesinin zorunlu olmasının yeni bir hukuki işleme sebebi olarak belirlenmesinin ise uygulamada insan kaynakları süreçlerinde Kanun’a uyum konusunda yaşanan problemlere çözüm getireceğini kestirmek güç değildir.
Kişisel Verilerin Yurtdışına Aktarımı
Öncelikle kişisel verilerin yurtdışına aktarılması Kanun’un 9. maddesinde düzenlendiğini söyleyerek başlayalım. Bilindiği üzere değişiklik öncesi uygulamaya bakıldığında yurt dışına kişisel veri aktarımları için “açık rıza” neredeyse tek yöntem haline gelmişti. Ancak bu çözüm de, özellikle bulut hizmeti gibi son derece olağan bir hizmet alımında (birçok e-ticaret şirketinde olduğu gibi) söz konusu olan yurt dışı veri aktarımlarında ciddi sorunlara sebebiyet veriyordu. Zira açık rıza ile depolama hizmeti almak adına kişisel verisi yurt dışına aktarılan kişi, vermiş olduğu rıza beyanını geri çekerse (opt-out), yurt dışında saklanan kişisel verilerinin ilgili hizmetten çıkartılması gerekiyordu, ki bu da pratikte neredeyse imkansızdı. Nitekim, Kişisel Verileri Koruma Kurulu (“Kurul”) bugüne kadar herhangi bir ülkeyi güvenli ülke olarak ilan etmediği gibi, çok az sayıda taahhütnameye onay vermişti. Yapılan değişikliklerle beraber artık yurtdışına veri aktarımı konusunda veri sorumlularının önünde birçok seçenek olduğunu rahatlıkla söyleyebiliriz. Yapılan değişiklikleri kısaca özetlemek gerekirse:
– Yapılan değişiklikle yeterlilik kararına dayalı aktarım muhafaza edilmiş ve yeterlilik kararına ülkeler dışında uluslararası kuruluşlar ve sektörlerin de konu olmasına imkân tanınmıştır.
– Kişisel verilerin yurt dışına aktarılması sürecinin temel süjesi olarak veri sorumlularının yanında veri işleyenler de sayılmıştır.
– Yeterlilik kararına ilişkin esaslar muhafaza edilmiş ve yeterlilik kararının en geç dört yılda bir değerlendirilmesine ilişkin kaide düzenlenmiştir.
– Yeterlilik kararı bulunmaması durumunda açık rızaya dayanmaksızın güvencelere dayalı aktarım yöntemine başvurulması imkânı getirilmiştir.
– Ön koşulların sağlanması ve yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve KVK Kurulu tarafından bu aktarıma izin verilmesi varlığı halinde güvencelere dayalı yurt dışına kişisel veri aktarım yapılması imkânı tanınmıştır.
– Evvelce KVK Kurulu tarafından uygulamaya alınan Bağlayıcı Şirket Kurallarına yasal dayanak kazandırılmıştır.
– Ön koşulların sağlanması ve standart sözleşmelerin kullanılması durumunda güvencelere dayalı yurt dışına kişisel veri aktarım yapılması imkânı tanınmıştır.
– KVK Kurulu’na yazılı taahhütname sunma usulü muhafaza edilerek, bu uygulamanın daha pratik ve hızlı hale getirileceği sinyalleri verilmiştir..
– Yeterlilik kararı olmayan ve uygun güvencelerden birisinin de sağlanamadığı hallerde kişisel verilerin yurt dışına aktarılabileceği geçici aktarım yöntemi ilk defa tanımlanmıştır.
– Açık rızaya dayalı yurt dışına kişisel veri aktarımı geçici hallerle sınırlandırılmıştır ve açık rızaya muhtemel riskler hakkında bilgilendirme unsuru eklenmiştir. Geçici olmak kaydıyla ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması durumunda kişisel verilerin yurt dışına aktarılması imkânı getirilmiş ve yurt dışına geçici kişisel veri aktarımı konusunda ek düzenlemeler yapılmıştır.
– Kişisel verilerin yurt dışına sonraki aktarımları için veri sorumluları ve veri işleyenlere özel bir yükümlülük getirilmiştir.
– Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğuna dair hüküm muhafaza edilmiştir.
– KVK Kurulu’na kişisel verilerin yurt dışına aktarılmasına ilişkin usul ve esasları belirleme yetkisi tanınmıştır.
Kurul Kararlarının Yargı Yoluyla Denetiminde Yapılan Değişiklikler
Değişiklikten önce KVK Kurulu’nun kararlarına karşı yargı yolu konusunda ikili bir denetleme uygulamasının söz konusu olduğunu belirtmek gerekir. Buna göre;KVK Kurulu’nun idari para cezalarına karşı sulh ceza hakimliğine başvurulurken idari para cezası dışında diğer kısım için ise idari yargıya başvurulmaktaydı. Bilindiği üzere kişisel verilerin korunması konusu teknik incelemeye muhtaç özellikli bir konu olduğundan KVK Kurul kararlarına karşı yargı yolunun sulh ceza hakimlikleri olması sıkça eleştirilen bir konu olmuştur. Yapılan değişiklikle KVK Kurulu kararlarına karşı yargı yolu idari yargı yolu olmuştur. Böylece ilerleyen dönemde KVK Kurul kararlarının daha etkin bir incelemeye tabi tutulabileceğini rahatlıkla söyleyebiliriz.
Değişiklikler Ne Zaman Yürürlüğe Giriyor?
Öncelikle belirtmek gerekir ki Kanun değişiklikleri 1 Haziran 2024 tarihinde yürürlüğe girecek. Açık rızaya dayalı yurtdışına veri transferi konusunda Kanun bir istisna getirmiş durumda. Buna göre 1 Eylül 2024’e kadar açık rızaya dayalı yurt dışına veri transferi yapmak hukuken uygun olmakla beraber bu tarihten sonra gerçekleştirilen yurt dışına veri aktarım faaliyetlerinin yeni kurallara uygun hale getirilmesi gerekli olacak.
Peki Şimdi Bizi Neler Bekliyor?
Öncelikle bu sorunun ilk yanıtı: yönetmelik, tebliğ ve rehber. Gerçekten de biz uygulayıcıları; yapılan değişikliklerin nasıl uygulanacağı, yurtdışına veri aktarım izin taleplerinin ve/veya bildirimlerinin KVK Kurulu’na nasıl ve hangi yöntemle yapılacağı gibi çok sayıda alt düzenleme bekliyor. Hatta KVK Kurulu’nun bir sürpriz yapıp bir ülke veya sektör bazında yeterlilik kararı gibi bir açıklaması bile olası.
Değişiklikler hakkında genel değerlendirmemizi ise sona sakladık. Yapılan değişikliklerle birlikte artık Kanun’un mehaz düzenlemesi GDPR’a bir adım daha yaklaştığını söyleyebiliriz. Ancak şunu da belirtmek gerekiyor ki Avrupa Birliği (“AB”), kişisel verilerin korunması mevzuat çalışmalarında bu noktaya 40 yılı aşkın bir sürede geldi. Bu alanda AB’de ilk çalışma olan 108 Sayılı Sözleşme ile başlayan yolculuk 2024 yılında da yine GDPR ve Yapay Zeka Yasası’nın onaylanmasıyla başka bir boyuta geçti. Bizim de burada gerçekleştirdiğimiz “reform”lar her ne kadar, özellikle de uluslararası veri transferine yeni ve global bir bakış açısı getiriyor olsa da iş bununla bitmiyor. Asıl hedef AB tarafından “güvenli ülke” ilan edilmek olmalıdır. Zira güvenli ülke demek, AB ile olan ticari ilişkilerimizde kişisel veri(müşteri verisi) anlamında güvenilen bir iş ortağı olmak yani tabiri caiz ise güvenli liman olmak demektir. KVK Kurulu’nun en az diğer ülke veri koruma otoriteleri kadar faal ve kapasiteye sahip olduğunu düşünüyoruz. Bilgi almak ve vizyon geliştirmek için de ICO (İngiltere Veri Koruma Otoritesi) ve CNIL (Fransız Veri Koruma Otoritesi) ile de yakın ilişkiler içinde olduklarını biliyoruz. Bugün AB, 16 ülkeyi güvenli ilan edilerek “yeterlilik kararı” vermiş durumda. Bunlar; Andora, Arjantin, Kanada (ticari kuruluşlar), Faroe Adaları, Guernsey, İsrail, Man Adası, Japonya, Jersey, Yeni Zelanda, Kore Cumhuriyeti, İsviçre, İngiltere ve bazı sınırlamalara tabi olarak Amerika Birleşik Devletleri. Bu kararı vermeden AB, ilgili ülkelerin yalnız kişisel verilerin korunması mevzuat süreçlerini değil, aynı zamanda veri koruma otoritelerinin çalışmalarını da dikkatle inceliyor ve buna göre karar veriyor. Sonuç olarak yurt dışı veri aktarımının elzem olduğu uluslararası ticaret ilişkilerinin gelişmesini istiyorsak asıl hedefin; taahhütnameler, özel sözleşme maddeleri ya da istisna uygulamaları değil, hep birlikte tüm ilgili paydaşların da katılımıyla “güvenli” ve “yeterli” bir ülke olarak kabul görmek olduğu kanaatindeyiz. Bu kapsamda Kanun değişikliğiyle yapılan reformu olumlu bir adım olarak görüyor, ancak hedefe henüz varılmadığının bilinciyle “güvenli ülke” hedefine varmak için gerekli çalışmaların yapılmasını umut ediyoruz.