6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun, KVKK) GDPR’a daha uyumlu bir hale getirilmesini amaçlayan değişiklikleri içeren “8. Yargı Paketi” içinde yer alan KVKK reformu ile KVKK madde 6 (Özel Nitelikli Kişisel Verilerin İşlenmesi), madde 9 (Kişisel Verilerin Yurt Dışına Aktarılması) ve madde 18 (Kabahatler) kapsamında önemli değişikler yapılmıştır.
Değişiklikler, bir geçiş sürecine tabi tutulmuştur. Açık rızaya dayalı yurt dışına veri aktarımı düzenlemeleri 1 Eylül 2024’e kadar uygulanacak, bu tarihten sonra açık rızaya dayalı bir şekilde yurt dışına sürekli olarak kişisel veri aktarımı gerçekleştirilemeyecektir. Kalan düzenlemeler ise 1 Haziran 2024’te yürürlüğe girecektir. 2024 yılı değişiklikleri ile;
Özel nitelikli kişisel verilerin işlenme şartları değiştirilmiş ve yeni hukuki sebepler benimsenmiştir.
Kişisel verilerin yurt dışına aktarılması hakkında yeni ve seçenekli bir rejim kabul ediliştir.
Açık rızaya dayalı, yurt dışına kişisel veri aktarılması genel hallerden çıkartılmış; istisnai bir hale getirilmiştir. Açık rızaya dayalı aktarımlara ilişkin uyum süreci için bir geçiş süreci öngörülmüştür.
Kişisel verilerin yurt dışına aktarılmasında veri işleyenlerin de veri sorumlularla birlikte idari para cezalarından dolayı olacağı benimsenmiştir.
Kişisel Verileri Koruma Kurulu’nun (Kurul) işlemlerine karşı tek yargı yolu olarak idari yargı yolu belirlenmiştir.
Kişisel verilerin yurt dışına aktarılmasına ilişkin yeni bir kabahat (standart sözleşmeleri beş (5) iş günü içerisinde Kurul’a bildirmeme) eklenmiştir.
Özel Nitelikli Kişisel Verilerin İşlenmesinde Yeni Bir Rejim Benimsendi
KVKK reformunun yasalaşması ile özel nitelikli kişisel verilerin işlenmesindeki süreç tamamıyla değişecektir. Özel nitelikli kişisel verilerin işlenmesi için hukuki sebepler genişletilmiştir. İlgili kişinin açık rızası hukuki sebebi korunmuştur.
Önceki süreçte, özellikle sağlık verilerinin insan kaynakları süreçlerinde (işe alım, özlük dosyasının oluşturulması vs.) sır saklama yükümlülüğü altında bulunan kişiler haricinde kişilerce işlenebilmesi açık rıza şartı gerekliydi. Artık istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması ve bir hakkın tesisi, kullanılması veya korunması için zorunlu olması hukuki sebeplerine dayalı olarak açık rıza olmaksızın işlemek mümkün olabilecektir.
Veri sorumluları nezdinde, özellikle insan kaynakları süreçlerinde, geri alınabilir nitelikte olan açık rıza hukuki sebebine mahkum olmaksızın yeni getirilen hukuki sebeplere dayalı olarak kişisel veri işlemek mümkün hale gelmiştir.
Hali hazırda uyum süreci geçirmiş veri sorumluları veya yeni uyum sürecine başlayacak veri sorumluları işledikleri özel nitelikli kişisel veriler yönünden değişen KVKK’nun 6’ncı maddesine uygun olarak; özel nitelikli kişisel verileri hukuki sebeplerine uygun olarak tasnif etmeli, yasa değişikliği öncesi açık rıza şartına dayalı olarak işlenen kişisel verileri yeni kabul edilen hukuki sebeplere dayalı işleyecek ise bunu ilgili kişiye bildirmeli ve aydınlatma beyanları da bu kapsamda güncellenmelidir.
Kişisel Verilerin Yurtdışına Aktarılması
KVKK’nın 9’uncu maddesi kapsamında değişiklik öncesi benimsenen haliyle kişisel verilerin yurt dışına aktarılması bakımından uygulamada açık rıza temeline dayalı bir çözüm ile aktarım söz konusu idi. Açık rıza haricinde aktarım için KVKK’nın 5’inci ve 6’ıncı maddesinde yer alan şartların sağlanmasının yanında kişisel verinin aktarılacağı ülkeye ilişkin yeterlilik kararı aranmaktaydı.
Yeterlilik kararı bulunmaması halinde ise Kurul’un onayladığı bir yazılı taahhüdün bulunması halinde veri aktarımı gerçekleştirilebilmekteydi. Bu durum, uygulamada büyük sorunlar doğurmuş ve sistem tıkanma noktasına gelmiş idi.
Yasalaşan değişiklik ile beraber yurt dışına aktarım için ilgililerden açık rıza alınması temelli aktarımdan vazgeçilmiş ve GDPR’ın aktarıma ilişkin hükümleri esas alınarak KVKK’nun 9’uncu maddesinde değişiklik yapılmıştır. Yeni düzenleme ile yurt dışına aktarım konusunda, sistematik aktarım ve arızi aktarım temelli ayrıma gidilerek farklı rejimler belirlenmiştir. Bu konuda üç alternatif belirlenmiş olup, bunlar;
Yeterlilik kararına dayalı aktarım,
Uygun güvencelere dayalı aktarım,
Arızi durumlara dayalı aktarımdır.
Yeterlilik Kararına Dayalı Aktarım (Madde 9-1)
Eski düzenlemede yer verilen yeterlilik kararı korunmuş, ancak yeterliliğe ilişkin kapsam genişletilerek yurt dışı aktarım yapılabilmesi için aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması KVKK’nın 5’inci ve 6’ıncı maddesi şartlardan birinin varlığı halinde aktarımın mümkün olabileceği belirtilmiştir
KVKK Reform Yasası gerekçesinde de belirtildiği üzere; yabancı ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilmesi imkanı doğmuştur. Örneğin; Türkiye’deki gıda, tekstil, otomotiv gibi yoğun ticari ilişki kurulan bir yabancı ülkenin tamamı yerine aktarım yapılacak ilgili ülkede bu sektörler bakımından yeterlilik kararı verilmesi mümkündür.
Uygun Güvencelere Dayalı Aktarım (Madde 9-4)
Önemli değişiklikler getirilmiştir. KVKK’nun 5. ve 6. maddelerinde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla maddede belirtilen uygun güvencelerden birinin sağlanması halinde veri sorumluları veya veri işleyenler tarafından yurt dışına aktarım mümkün kılınmıştır.
Kamu/Meslek Kuruluşu Anlaşmaları: Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi halinde yurtdışına aktarım mümkündür.
Bağlayıcı Şirket Kuralları (BCR): Kurul tarafından kanunun eski hali ile uygulamada taahhütnamelere ek olarak çok uluslu şirket toplulukları arasında yapılacak veri aktarımını kolaylaştırmak için bağlayıcı şirket kurallarını kabul etmekteydi. Düzenleme ile uygulama yasal zemine kavuşturulmuştur. Ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketleri için bağlayıcılığı temin edilmiş ve kişisel verilerin korunmasına ilişkin hükümler ihtiva eden kuralların, Kurul’un onayından geçirilmiş olması gerekmektedir.
Standart Sözleşme (SCC): Kurul tarafından belirlenecek standart hükümleri (veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden) içeren standart sözleşmeler veri sorumluları veya veri işleyenler tarafından aktarılan yer ile imzalanarak veri aktarımı mümkün olabilecektir. Verinin son aktarıldığı yere kadar takip edilerek güvencenin aktarılan tüm yerler ile sağlanması esastır. Sözleşme beş (5) iş günü içinde Kurul’un oluşturacağı bir sistem aracılığıyla Kurum’a bildirilecektir. Bildirilmemesi halinde idari para cezası yaptırımı öngörülmüştür.
Taahhütname: Kanun’un değiştirilmeden önceki mevcut halinde de yer alan ve Kurul’dan alınacak izin ile aktarılacak yerden alınan taahhütnameye onay ile aktarım muhafaza edilmiştir.
Arızi Aktarım (Madde 9-6)
Öncelikle, yurt dışına veri aktarılmasında arızi hal sebebiyle veri aktarımı, aktarılacak ülke hakkında yeterlilik kararı bulunmaması ve KVKK’nun 9’uncu maddesinin 4’üncü fıkrasında sayılan güvencelerin sağlanmaması halinde değerlendirilebilecek bir durumdur ve istisnai bir veri işleme türü olması nedeniyle de oldukça dar yorumlanmalıdır. Yapılan değişiklik hükmünde arızi haller şu şekilde sayılmıştır:
İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
Aktarımın üstün bir kamu yararı için zorunlu olması.
Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
Reform ile kamu kurum ve kuruluşlarının kamusal faaliyetlerinde arızi aktarıma ilişkin kısıtlama getirilmiştir. Bu kapsamda, arızi aktarıma ilişkin maddede yer alan;
(a) ilgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi, (b) aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması, (c) aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması arızi aktarım hallerinden birine dayanamayacaktır.
Kabahatlere Yönelik Değişiklikler ve Geçiş Hükümleri
KVKK’nın 18’inci maddesine eklenen yeni hüküm ile 9’uncu maddede belirtilen “standart sözleşmenin bildirimi” yükümlülüğünün ihlali durumunda idari para cezasının uygulanacağı düzenlenmiştir. Bu düzenlemeyle, verilerin yurt dışına aktarılması sırasında kullanılacak standart sözleşmelerin, aktarımın gerçekleşmesinden itibaren beş (5) iş günü içerisinde Kurula bildirilmesi zorunlu hale getirilmiştir.
Bildirimde bulunulmaması durumunda veri sorumlusuna veya veri işleyene idari para cezası uygulanması gündeme gelecektir. Bu düzenlemedeki önemli ve yeni olan bir nokta da yaptırımın veri sorumlusu veyahut da veri işleyene uygulanacak olmasıdır ki; ilk kez veri işleyen de yaptırıma tabi tutulma tehlikesi ile karşı karşıya bırakılmıştır.
Öte yandan, KVKK’da yapılan değişikliklerden biri de Kurul kararların karşı yapılacak başvurulara ilişkin başvuru yolunun değiştirilmesi olmuştur. Yapılan değişiklikle beraber, Kurul tarafından verilen idari para cezalarına karşı başvuru yolunda 1 Haziran 2024 tarihinden sonra idare mahkemeleri görevli kılınmıştır.
KVKK’nun 18’inci maddesinin 3’üncü fıkrası “Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.” şeklinde değiştirilmiştir. Yapılan düzenleme ile Kurul kararlarının mahiyeti gözetilmiş ve kararların denetimi idari yargıya bırakılmıştır.
Değişiklikten önce, Kurul kararlarına karşı yapılan başvurularda ikili bir ayrıma gidilmekte ve idari para cezası kararlarına itirazlar Sulh Ceza Hakimlikleri’nce incelenirken; para cezası dışında hükmedilen yaptırımlara yönelik itirazlar ise idari yargı mercilerince incelenmekte idi.
Bu durum, denetimin yeterince etkili yapılamamasına yol açmakta ve uygulamayı problematik bir hale getirmekteydi. Öte yandan, söz konusu ikili inceleme, Kabahatler Kanunu düzenlemesi ve özüyle de çelişki yaratmaktaydı ki Kabahatler Kanunu’nun 27’inci maddesinde; aynı kişi hakkında idari yargının inceleme alanına giren bir aykırılık iddiasının ve iptal taleplerinin idari yargı tarafından incelenmesi gerektiği, belirtilmiştir.
Kanun düzenlemesiyle çelişen ikili denetim uygulaması, etkili bir kanun yolu oluşturulmasının önüne geçmesinin yanında Sulh Ceza Hakimliği kararlarının bir içtihat oluşturmaması nedeniyle KVKK uygulamalarına yönelik bir içtihat birliği oluşmasına engel olmaktaydı. Kurul kararlarının hem idari yargı mercileri hem de Sulh Ceza Hakimlikleri tarafından yorumlanması sebebiyle farklı uygulamalar ortaya çıkmakta idi.
Yapılan düzenleme ile yargı yolunun tek bir mercie özgülenmesi, uygulama birliği sağlayacaktır. Bununla birlikte, Sulh Ceza Hakimlikleri’nin Kurul tarafından verilen idari para cezalarına karşı yeterli inceleme yapmadan karar vermelerine yönelik problemli gidişat bir çözüme kavuşturulmuş, güvenceleri sağlam bir çözüm yolu belirlenmiştir.
Değişiklik ile artık Kurul kararlarının denetimi açısından Kanun’un ruhuna uygun, çelişki barındırmayan ve etkili bir denetim yapılması, yapılan denetimlerle birlikte içtihat birliği sağlanması beklenmektedir.
KVKK Reformuna Uyum Gereklilikleri
KVKK’nın 6’ıncı ve 9’uncu ve 18’inci maddesi ile teknik olarak üç maddede değişiklik yapıldığı düşünülse de getirilen bu yenilikler neredeyse uyum süreçlerinin tamamının gözden geçirilmesi gerekliliğini doğurmaktadır. Özel nitelikli kişisel verilerin işlenmesine dair hususların, yargı paketinin yürürlüğe gireceği tarih olarak belirlenen 1 Haziran 2024 tarihine dek yeni düzenlemeler ile uyumlu hale getirilmesi gerekmektedir.
Ayrıca, geçiş hükmüne göre eski düzenlemeye göre açık rıza hukuki sebebine dayanan yurt dışı aktarımlarının 1 Eylül 2024 tarihine kadar sonlandırılması ve yeni düzenlemelerle uyumlu hale getirilmesi öngörülmüştür. Yürürlüğe girecek Kanun yürürlük tarihi olan 01 Haziran 2024 ve eski haliyle açık rızaya dayalı yurtdışına aktarıma ise 01 Eylül 2024 tarihine kadar son verilerek yeni haline uyumlu işlenmesi gerekmektedir.
Özel nitelikli kişisel verilerin yeni veri işleme şartlarına uygun olarak özel nitelikli kişisel verilerin işlendiği alanların teker teker belirlenmesi ve uygun hukuki işleme sebebinin seçilmesi gerekmektedir. İş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi yeni bir hukuki işleme sebebi olarak kabul edilmiştir.
Bu doğrultuda veri sorumlularının insan kaynakları süreçlerini tamamen yeniden kurgulamaları açık rızaya dayalı özel nitelikli kişisel veri işleme faaliyetine son vererek aydınlatma metinlerini güncellemeleri ve çalışanları bu doğrultuda aydınlatmaları gerekecektir.
Yurtdışına aktarım düzenlemesi ise önemli değişiklikler ile yürürlüğe girecektir. Bu doğrultuda yine uyum projelerinin gözden geçirilmesi, envanterlerde yurt dışına aktarım “– var/yok” olarak belirlenen aktarımların yeni düzenlemeye uyumlu hale getirilmesi gerekmektedir.
Aktarım süreçlerinin tespiti, sürekli aktarım ve arızi aktarım hallerinin ayrıştırılması, sürekli aktarım hallerinde KVKK’nın 9’uncu maddesinin 4’üncü fıkrasında yer alan güvencelerden hangisine dayanılacağının tespiti yapılmalıdır.
Yeni düzenleme ile açık rızaya dayalı aktarım ancak arızi aktarım ile mümkün olabilecektir. Bu doğrultuda arızi aktarım var ise aktarılan yerlere ilişkin risk analizinin yapılarak aydınlatma metinlerinin buna göre güncellenmesi gibi önemli konular uyum gerekliliği olarak karşımıza çıkmaktadır.
Yurt dışına aktarımda standart sözleşmeye dayalı aktarımın en yaygın yöntem olarak kullanılacağı beklenmektedir. Dolayısıyla, aktarım yapılan ülkede bulunan aktarım yeri ile standart sözleşme hükümlerinin tartışılarak sözleşmeye bağlanması gerekmektedir.
Ayrıca, aktarılan bu yerden bir başka üçüncü ülkeye aktarım var ise bunun da takibi sağlanarak sağlanan güvenceye uygun tedbirlerin alınması gerekecektir.
Bu doğrultuda aktarılan ülkeler, kuruluşlar veya sektörler belirlenmesi ve bunun kaydının envanterde tutulması gerekmektedir. Zira, yeterlilik kararları çıkmaya başladığında tutulan bu envanterlere göre hukuki sebep değişecek ve değişime uyumlu hale gelmesi gerekecektir.
Mevcut uyum projeleri için hazırlanan politika, prosedür, aydınlatma beyanları, açık rıza metinleri, envanter, kontrol listeleri gibi dokümanların gözden geçirilerek revize edilmesi ve KVKK Reformuna uygun hale getirilmesi gerekmektedir. Nihayetinde, veri sorumluları tarafından VERBİS sistemine yapılan bildirimler de güncellenmelidir.
