1. Giriş

16 Şubat 2024 tarihinde Türkiye Büyük Millet Meclisi (“TBMM”) Adalet Komisyonuna sunulan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) önemli birtakım değişiklikler öngören Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (“Değişiklik Teklifi”), 21 Şubat tarihi itibarıyla TBMM’de kabul edilmiştir.

Değişiklik Teklifi, KVKK’yı, Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) yaklaştırmak suretiyle, esas olarak (i) kişisel verilerin yurt dışına aktarılması ve (ii) özel nitelikli kişisel verilerin işlenmesine ilişkin uygulamada ortaya çıkan birtakım sorunlara cevap vermeyi amaçlamaktadır.

  • Özel Nitelikli Kişisel Verilerin İşlenmesinde Yeni Şartlar

Yürürlükte olan KVKK Madde 6 uyarınca özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi, kural olarak, yasaktır. Değişiklik Teklifi, açık rıza olmaksızın özel nitelikli kişisel verilerin işlenmesine dair birtakım istisnalar öngörmektedir. Bu doğrultuda, özel nitelikli kişisel verilerin işlenebilmesi için, halihazırda yürürlükte olan 3 (üç) işlenme şartına ilave olarak 5 (beş) yeni işlenme şartı belirlenmiştir:

  • İlgili kişinin açık rızası olması (yürürlükte);
  • Kanunlarda açıkça öngörülmesi (yürürlükte);
  • Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinin gerekli olması (yürürlükte);
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması (eklendi);
  • İlgili kişinin özel nitelikteki kişisel verilerini alenileştirmesi (eklendi);
  • Bir hakkın tesisi, kullanılması, korunması için zorunlu olması (eklendi);
  • İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması (eklendi); veya
  • Siyasi, felsefi, dini veya sendikal amaçlı kuruluşlar tarafından kuruluşun faaliyet amacına uygun olarak gerektiği hallerde sınırlı olarak ve üçüncü kişilere açıklanmamak kaydı ile (eklendi).
  • Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yeni Şartlar

Yürürlükte olan KVKK Madde 9, kişisel verilerin, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılmasını yasaklamakta ve ilgili kişinin açık rızası olmaksızın kişisel verilerin yurt dışına aktarılması için (i) kişisel verilerin işlenme şartlarından birinin ve (ii) aktarımın yapılacağı yabancı ülkede yeterli korunmanın bulunmasını şart koşmaktadır. Yabancı ülkede yeterli korumanın bulunmaması durumunda, Türkiye ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması aranmaktadır.

Değişiklik Teklifi ile getirilmesi amaçlanan en önemli yeniliklerden birisi, Kurul’un yeterlilik kararlarının artık sadece ülkeler için değil uluslararası kuruluş veya ülkeler içindeki belirli sektörler hakkında da verilebilecek olmasıdır. Bir diğer önemli yenilik ise, herhangi bir yeterlilik kararının mevcut olmadığı durumlar için, GDPR uyarınca halihazırda uygulanmakta olan “Standard Contractual Clauses” benzeri bir yapının KVKK’ya ilave edilmesidir.

Buna göre, Kurul tarafından içeriği belirlenecek ve ilan edilecek standart bir sözleşmenin, veri aktarımının tarafları arasında imzalanması ve KVKK’nın aradığı diğer şartların da mevcut olması halinde, kişisel veriler açık rıza aranmaksızın yurt dışına aktarılabilecek ve ilgili sözleşmelerin, imza tarihlerinden itibaren 5 (beş) iş günü içerisinde Kişisel Verileri Koruma Kurumuna (“Kurum”) bildirilmesi yeterli olacaktır. Ancak, işbu bildirim yükümlülüğünün yerine getirilmemesi halinde, veri sorumluları ve veri işleyenler için 50.000 TL’den (elli bin Türk lirasından) 1.000.000 TL’ye (bir milyon Türk lirasına) kadar idari para cezası uygulanması öngörülmektedir.

Standart sözleşmelerin akdedilmesi suretiyle güvence sağlanmasının yanı sıra başka birtakım güvencelerin getirilmesi de amaçlanmaktadır. Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşlarının, yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile uluslararası sözleşme niteliğinde olmayan anlaşmalar yaparak ve Kurul’dan izin alınması koşuluyla yurt dışına veri aktarımı yapabilmeleri bunlardan birisidir. Yalnızca kamu kurum ve kuruluşları değil, ortak ekonomik faaliyette bulunan teşebbüsler bünyesindeki şirketler de, Kurul tarafından onaylanmış bağlayıcı şirket kurallarının varlığı halinde, yurt dışına veri aktarımı yapabileceklerdir.

Yeterlilik kararı veya KVKK’da sayılan uygun güvencelerden hiçbirinin bulunmadığı hallerde de bazı arızi durumlarda da kişisel verilerin yurt dışına aktarımının yapılmasının hukuka uygun hale getirilmesi amaçlanmaktadır:

  • İlgili kişilerin muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermeleri,
  • Aktarımın ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
  • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
  • Aktarımın üstün bir kamu yararı için zorunlu olması,
  • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması,
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması, veya
  • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Kişisel verilerin açık rıza ile yurt dışına aktarılmasına ilişkin halihazırda yürürlükte olan hükmün 1 Eylül 2024 tarihine kadar yürürlükte kalması öngörülmüştür.

  • Kurul Kararlarına Karşı Başvuru

Değişiklik Teklifi ile getirilmesi amaçlanan bir diğer yenilik ise, Kurul tarafından verilen idari yaptırım kararlarına karşı sulh ceza hakimliklerine başvurulması yolundan vazgeçilerek, idare mahkemelerinin yaptırım kararlarına karşı başvuruları incelemekle görevli kılınmasıdır.

Bununla birlikte, 1 Haziran 2024 tarihi itibarıyla sulh ceza hakimliklerinde görülmekte olan başvuruların, bu hakimliklerce görülmesine devam edilmesi öngörülmüştür.

  • Sonuç

Değişiklik Teklifi’nin 1 Haziran 2024 tarihinden itibaren yürürlüğe girmesi amaçlanmakta olup veri sorumluları ve işleyenlerinin, Değişiklik Teklifi’nin planlanan yürürlük tarihinden önce KVKK’ya uyum süreçlerini gözden geçirmesi ve gerekli değişiklikleri yapmaları faydalı olacaktır. Değişiklik Teklifi’nin mevcut içeriğiyle TBMM’de kabul edilmesi beklenmekle birlikte, kişisel verilerin yurt dışına aktarılmasıyla ilgili Kurum tarafından çıkarılması beklenen yönetmelik ve yine Kurum tarafından ilan edilmesi beklenen standart sözleşme hükümleri KVKK’ya uyum süreçlerinin yürütülmesinde yol gösterici olacaktır.

Saygılarımızla,

Vardar Şanlı