Kişisel Verilerin Korunması Kanunu'nda ("KVKK") uzun zamandır beklenen değişiklik gerçekleşti ve bugün (12 Mart 2024) tarihli Resmi Gazete'de yayımlanan kanun değişikliği* ("Değişiklik/ler") ile KVKK'nın AB'deki General Data Protection Regulation ("GDPR") ile uyumu için ilk adım atıldı.

Değişiklikler kapsamında,

  • Özel nitelikli verilerin işlenme şartları fiili işleme süreçlerine yanıt verecek şekilde yeniden düzenlendi,
  • Kişisel verilerin yurt dışına aktarımı için öngörülen "açık rıza öncelikli mekanizma" yerini "yeterlilik kararı)uygun güvence)arızi haller" mekanizmasına bıraktı,
  • İdari para cezalarına ilişkin görevli mahkeme, idare mahkemeleri olarak belirlendi.

Söz konusu değişikliklerin GDPR ile uyum noktasında atılan ilk adım olduğunu ve KVKK'da gelecekte daha kapsamlı bir değişiklik yapılacağını ayrıca not etmek gerekir.

Değişiklikler ile uyum için şirketlerin kişisel veri işleme süreçlerindeki mahremiyet etki analizi çalışmalarını güncelleyerek, gerekli dokümantasyon değişikliklerini gerçekleştirmeleri gerekmektedir.

KVKK'da Değişiklik Gerekli miydi?

Evet. Bilindiği üzere KVKK, AB'de yer alan 95/46 sayılı Direktif** ("Direktif") temel alınarak hazırlanmıştı. Ancak KVKK'nın yürürlüğe girmesinden iki yıl sonra bu Direktif, AB'de yürürlükten kaldırılarak yerini GDPR'a bırakmıştı.

Gerek Direktif temelli KVKK'nın -ve KVKK'nın kabulü esnasında yapılan son lokal dokunuşların- güncelliği yakalayamaması, gerek gelişen teknoloji ve iş süreçleri ile yeni ihtiyaçların doğması, KVKK'nın GDPR ile uyumlu hale getirilmesini elzem kılmıştı.

Bu durum zaten 2021 tarihli İnsan Hakları Eylem Planı, Ekonomi Reformları Eylem Planı ve 2024–2026 Orta Vadeli Program gibi dokümanlarda kendine yer bulmuştu.

Değişiklik adımı ile birlikte, GDPR'a uyum için ilk adım atılarak veri işleme süreçlerindeki en güncel ve kritik olan "özel nitelikli kişisel veriler" ve "yurt dışına aktarım" mekanizmalarına dokunuşlar yapılarak, KVKK ilgili başlıklar bakımından büyük oranda GDPR ile uyumlu hale getirilmiştir.

Özel Nitelikli Kişisel Veriler Bakımından Neler Değişiyor? (KVKK m. 6)

KVKK'nın 6. maddesinde yapılan değişiklik ile özel nitelikli kişisel verilerin işlenme koşulları genişleterek başta sigortacılık sektörü olmak üzere çalışma mevzuatı, iş sağlığı ve güvenliği ile sosyal hizmetler alanlarındaki çıkmazların çözüme kavuşturulması amaçlanmıştır.

Değişiklikten önce, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel verilerin işlenebilmesi, sadece ilgili kişinin açık rızasının bulunması veya kanunlarda öngörülmesi halinde mümkün idi. Öte yandan, sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise açık rızanın dışında sadece kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin finansmanı, yönetimi ve planlanması amacıyla işlenebilmekte idi.

Değişiklik ile birlikte, "özel nitelikli kişiler verilerin işlenmesinin yasak olması" ilkesi ve bu verilerin işlenmesine ilişkin aşağıdaki üç şart korunmuştur.

  • Açık Rıza: İlgili kişinin açık rızasının bulunması,
  • Kanunlarda Öngörülme: Kanunlarda açıkça öngörülen haller (Örn. 5352 sayılı Adli Sicil Kanunu uyarınca ceza mahkûmiyetine ilişkin verilerin işlenmesi ve 2559 sayılı Polis Vazife ve Salâhiyet Kanununun 5 inci maddesi uyarınca kişilerin parmak izlerinin alınması),
  • Kamu Sağlığı: Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca kamu sağlığının korunması, Koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile Sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması (Örn. Sağlık Bakanlığı ile her türlü sağlık kuruluşunun ve Sosyal Güvenlik Kurumunun bu bentte yazılı amaçlarla tuttukları veriler)

Öte yandan özel nitelikli verilerin işlenmesine ilişkin aşağıdaki yeni şartlar eklenmiştir.

  • Fiili İmkansızlık: Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanımayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (Örn. herhangi bir sebeple bilinç kaybından ötürü rızasını açıklayamayacak durumda olan kişinin hayatının veya beden bütünlüğünün korunması amacına mahsus olarak kan grubu ve geçirilen hastalıklar gibi özel nitelikli kişisel verilerinin işlenmesi),
  • Alenileştirme: İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve bu verilerin alenileştirme iradesine uygun olması (Örn.bir kişinin acil durumlarda kullanılması için, herkesçe erişilebilir bir alanda paylaşmış olduğu kan grubu ve alerji bilgileri gibi kişisel verilerinin bu amaca uygun olarak işlenmesi ve kullanılması),
  • Hakkın Tesisi: Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması (Örn. İş sözleşmesinin sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması bakımından işverenin eski işçisine ait sağlık verilerini saklamaya devam etmesi veya engelli bir kişinin özel tüketim vergisinden istisna olarak araç alma hakkından yararlanabilmesi için bu kişinin engelli raporunun vergi dairesi tarafından işlenmesi),
  • İstihdam ve Sosyal Güvenlik: İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanında hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması (Örn. 4857 sayılı İş Kanunuyla işverenlere verilen engelli veya hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından kişilerin sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işverenlerce işlenmesi)
  • Dernek ve Vakıflar: Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması (Örn. Bu kuruluş ve oluşumların mevcut üyelerinin yanı sıra eski üyeleri ve düzenli olarak bağış yapmak suretiyle kendisiyle temas halinde olan kişilerin bu durumlarına ilişkin bilgiyi işlemesi.)

KVKK'nın Değişiklik öncesi halinde özel nitelikli verilerin işlenmesine ilişkin şartlar çok kısıtlı idi ve bu durum özellikle insan kaynakları süreçlerinde büyük çıkmazlara yol açmaktaydı. Yeni getirilen işlenme şartları ile birlikte bu çıkmazların sona ereceğini ve insan kaynakları vb. süreçler bakımından veri sorumlularının çok daha kolay ve KVK ile uyumlu süreçler tasarlayabileceğini düşünüyoruz.

Kişisel Verilerin Yurt Dışına Aktarımı Bakımından Neler Değişiyor? (KVKK m. 9)

KVKK'nın 9. maddesinde gerçekleştirilen Değişiklikler, kişisel verilerin yurtdışına aktarımı koşullarını yeniden düzenleyerek, açık rızaya dayalı anlayıştan "yeterlilik kararı)uygun güvenceler) arızi haller" gibi bir sistematiğe geçilmesini sağlamıştır.

Bilindiği üzere Değişiklik öncesi uygulamaya bakıldığında yurt dışına kişisel veri aktarımları için "açık rıza" neredeyse tek yöntem haline gelmişti. Nitekim, Kişisel Verileri Koruma Kurulu ("Kurul") bugüne kadar herhangi bir ülkeyi güvenli ülke olarak ilan etmediği gibi, çok az sayıda taahhütnameye onay vermişti.

Değişiklik gerekçesinde bu durumun, "ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği" ve "ülkemize yapılacak yatırımları da engellediği" belirtilerek GDPR ile uyumlu olarak aşağıdaki mekanizma belirlenmiştir.

Değişiklikte, yurtdışına aktarımın usul ve esaslarına ilişkin uygulamanın ayrı bir yönetmelikle düzenleneceği belirtilmektedir.

Anılan Yönetmeliğin, bir uygun güvence olarak belirtilen ve Kurul'a bildirimi zorunlu kılınan standart sözleşmelere ilişkin imza koşullarını ve aynı zamanda arızi aktarım süreçlerinin detaylarını belirlemesi açısından önemli olabileceğini düşünmekteyiz.

Öte yandan, bir diğer önemli hüküm olarak, kişisel verilerin yurtdışına aktarılmasından sonraki aktarımlar (further processing) bakımından da yukarıdaki güvencelerin sağlanacağının ve bu madde hükümlerinin uygulanacağı düzenlendiğini de belirtmek gerekir.

Bu kapsamda, Değişiklikler ile birlikte yurt dışına kişisel veri aktarımı esnasında sırasıyla aşağıdaki şartlardan birisinin varlığı aranacaktır.

Yeterlilik Kararının Bulunması

Bu şart kapsamında, kişisel verilerin işlenme şartları (KVKK m.5) ile özel nitelikli kişisel verilerin işlenme şartlarından (KVKK m.6) birinin varlığı VE aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması aranmaktadır.

Mevcut hükümden farklı olarak yabancı ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilmesine imkân tanınmaktadır.

Bu durum Değişiklik Gerekçesi'nde "Ülkemizdeki otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü bakımından yeterlilik kararı verilmesi mümkün hale gelmektedir" notuyla açıklanmaktadır.

Yeterlilik Kararı Yoksa

Herhangi bir yeterlilik kararının bulunmadığı durumda, kişisel verilerin işlenme şartları (KVKK m.5) ile özel nitelikli kişisel verilerin işlenme şartlarından (KVKK m.6) birinin varlığı VE aktarımın yapılacağı ülkede etkili biçimde ilgili kişinin haklarını kullanma ve kanun yollarına başvurma imkanının bulunması kaydıyla, uygun güvencelerden birinin taraflarca sağlanması halinde kişisel verilerin veri sorumluları veya veri işleyenler tarafından yurt dışına aktarılması mümkün hale gelmiştir.

Uygun Güvenceler nelerdir?

  • Kamu Kurum ve Kuruluşları Arası Anlaşmalar: Uygun güvencelerden ilki Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan anlaşmaların mevcut olmasıdır. Kişisel verilerin bu anlaşmalar çerçevesinde aktarılması için Kurul'un izni gereklidir.
  • Bağlayıcı Şirket Kuralları: Aynı teşebbüs bünyesindeki şirketler arasında Kurulun onayladığı bağlayıcı şirket kurallarının varlığı halinde, KVKK 5 ve 6. maddelerindeki veri işleme şartlarından birinin bulunması kaydıyla Kurul'dan ayrıca izin alınmaksızın şirketler arası veri aktarımı söz konusu olabilecektir.
  • Standart Sözleşme: Kurul tarafından ilan edilen standart sözleşmenin taraflarca imzalanması halinde izne gerek olmaksızın veri aktarımı söz konusu olabilecektir. Bu sözleşmenin imzalanmasından itibaren 5 iş günü içerisinde Kişisel Verileri Korunma Kurumu'na ("Kurum") bildirilmesi şartı getirilmiştir. Belirtmek gerekir ki, bu sözleşmenin imzalanmasının ardından 5 iş günü içinde Kurum'a bildirimde bulunma yükümlülüğünün yerine getirilmemesi durumunda 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanması söz konusu olacaktır. Bu yaptırımın veri işleyenler açısından da uygulanması mümkündür.
  • Yazılı Taahhütname: Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

Yeterlilik Kararı ve Uygun Güvencelerin Olmadığı Özel Durumlar

Değişiklik ile birlikte yeterlilik kararı bulunmayıp ve uygun güvencelerden birinin sağlanamadığı bazı istisnai durumlarda; son çare olarak, veri sorumluları ve veri işleyenlere, arızi olmak kaydıyla, diğer bir ifadeyle tek veya birkaç sefer ve süreklilik taşımayacak şekilde, yurt dışına veri aktarma imkânı sağlanmaktadır.

Değişiklik Gerekçesinde bu aktarıma yöntemine örnek olarak "Türkiye'deki bir şirketin yurt dışında bulunan bir şirketle arızi olarak gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat halinde olacak çalışanlarına ilişkin bilgileri paylaşması" verilmiştir.

Arızi durumlar kişisel verilerin yurt dışına aktarımının gerçekleştirilebilmesi için aşağıdaki hallerden birisinin varlığı aranmaktadır.

  • Muhtemel riskler hakkında bilgilendirilen ilgili kişinin aktarıma açık rıza vermesi,
  • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
  • Aktarımın üstün bir kamu yararı için zorunlu olması,
  • Bir hakkın tesisi, kullanılması veya korunması için aktarımın zorunlu olması,
  • Fiili imkansızlık nedeniyle rızasını açıklayamayan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisi ya da başkasının hayatı veya beden bütünlüğünün korunmasının zorunlu olması,
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması

Değişiklik'te aynı zamanda, istisna olarak, yukarıda sayılan ilk üç halin, kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerinde uygulanmayacağı düzenlenmektedir.

Kurul Kararlarına Karşı Başvurulacak Yargı Yolu'nda Değişiklik (KVKK m. 18)

Değişiklikle birlikte, Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerinde dava açılabileceği hükmü getirilmiştir.

Aynı zamanda 01.06.2024 tarihi itibariyle sulh ceza hakimlikleri önünde bulunan dosyaların, bu hakimliklerce nihai karara bağlanacağı hüküm altına alınmıştır.

Geçiş Süreci Nasıl Olacaktır? (KVKK Geçici m. 3)

Değişiklik ile KVKK'ya Geçici Madde 3 eklenmiş ve bir geçiş süreci belirlenmiştir.

Bu kapsamda,

  • Değişikliklerin 1 Haziran 2024 tarihinde yürürlüğe gireceği,
  • Kişisel verilerin yurt dışına aktarılmasıyla ilgili açık rızayı aktarım şartı kabul eden eski KVKK hükmünün (m. 9/1) ise 1 Eylül 2024 tarihine kadar uygulanmaya edeceği düzenlenmiştir.

Genel Değerlendirme

Değişiklik ile birlikte KVKK'da yeni bir dönemin başladığını söylememiz mümkündür.

Söz konusu düzenlemelerin uygulamada özel nitelikli kişisel veriler açısından mevcut olan bir çok problemi ortadan kaldıracağını ve yurt dışına kişisel veri aktarımı bakımından olan sıkıntıları rahatlatacağını düşünmekteyiz.

Şirketlerin, ilgili düzenlemelere uyum sağlayabilmesi için

  • Özel nitelikli kişisel veriler açısından getirilen değişikliklerle uyum amacıyla gerekli mahremiyet etki analizi çalışmalarını yapıp, doküman setlerini bir an önce güncellemelerini,
  • Yurt dışına veri aktarımı bakımından ise bu konuda yayımlanacak Yönetmelik sonrasında gerekli aksiyonları almalarını önermekteyiz.

Bilindiği üzere KVKK'daki idari yaptırımlar için parasal üst sınırlar belirlidir. Ancak GDPR ile uyum amacıyla yapılacak gelecekteki ikinci değişiklikte idari para cezalarının ciro üzerinden bir yüzde ile üst sınıra tabi kılınması beklenmektedir. Bu nedenle veri sorumluları ve veri işleyenlerin, ilgili idari yaptırımlar ile karşılaşmaması adına gerekli adımları atarak uyum sağlamalarının önemli olduğunu düşünmekteyiz.

Yazarlar: İpek Civa, Yaşar K. Canpolat

Sorunuz olması halinde info@canpolatlegal.com adresinden bize ulaşabilirsiniz.

*12 Mart tarihli, 7499 sayılı "Ceza Muhakemesi Kanunu İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun" https://www.resmigazete.gov.tr/eskiler/2024/03/20240312-1.htm

** 24 Ekim 1995 tarihli ve 95/46/AT sayılı Kişisel Verilerin İşlenmesi Bakımından Bireylerin Korunması ve Bu Tür Verilerin Serbest Dolaşımı Hakkında Avrupa Parlamentosu ve Konsey Direktifi

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.