KVKK Düzenlemeleri Yolda!
Bilindiği üzere 25.10.2023 tarihli Resmî Gazete’de yayımlanan 2024 Yılı Cumhurbaşkanlığı Yıllık Programı’nda; 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile ilgili Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation – GDPR) başta olmak üzere AB müktesebatına uyum sürecine yönelik çalışmalarının tamamlanması hedeflenmiştir. Bu doğrultuda Türkiye Büyük Millet Meclisi’nin 16 Şubat 2024’te gündemine gelen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (“Kanun Teklifi”) ile KVKK’da önemli muhtelif değişiklikler öngörülmüştür. Baktığımızda Kanun Teklifi’nin yasalaşması ile birlikte özel nitelikli kişisel verilerin işlenmesi, yurt dışına veri aktarımı, idari yaptırımlar ve Kişisel Verileri Koruma Kurulu Kararları’na karşı itiraz yolları açısından önemli yenilikler yürürlüğe girecektir. Veri sorumlularını yakından ilgilendiren ve pratiği rahatlatabilecek nitelikte olan söz konusu değişikliklerin ardından Kişisel Verileri Koruma Kurumu tarafından belirli bir takvim dahilinde ikincil düzenlemelerin de gündeme gelmesi ve uygulamaya konulması beklenmektedir.
Kanun Teklifi ile KVKK’ya getirilmesi planlanan başlıca değişiklikler şu şekildedir:
- Özel nitelikli kişisel verilerin işlenme şartlarında yeni kapsam ve sistematik belirlenmektedir.
Kanun Teklifi ile, özel nitelikli kişisel verilerin işlenmesini mümkün kılan hukuka uygunluk sebepleri arttırılmıştır. Düzenlemenin mevcut haliyle sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler yalnızca kanunlarda öngörülen hallerde, sağlık ve cinsel hayat verileri ise istisnai hallerde sağlık personeli ve SSK ile Sağlık Bakanlığı tarafından açık rıza olmaksızın işlenebilmekteydi. Bu durum uygulamada özellikle sigorta şirketleri ve iş sağlığı – güvenliği uygulamaları açısından zorluklara yol açmaktaydı.
Değişiklik ile açık rıza dışındaki hukuka uygunluk sebeplerinin GDPR’a paralel olarak genişletilmesi öngörülmüştür. Örneğin istihdam, iş güvenliği ve sosyal güvenlik gibi alanlardaki hukuki yükümlülüklerin yerine getirilmesi amacıyla veya kanunlarda öngörülen hallerde özel nitelikli kişisel veri işlenebilecektir. Tasarlanan değişikliklerin pratikte özel nitelikli kişisel verilerin kullanım sahasını genişletme potansiyelinin yüksek olduğu ve sektörlerdeki veri akışı ihtiyacının gözetildiği söylenebilecektir.
Mevcut KVKK Düzenlemesi | Kanun Teklif Metninde Yer Alan Değişiklik |
Kural: Açık rıza olmaksızın özel nitelikli kişisel veri işlenemez. İstisna: Ancak aşağıdaki hallerin varlığı halinde açık rıza alınmaksızın özel nitelikli kişisel veriler işlenebilir: 1. Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hallerde işlenebilir. 2. Sağlık ve cinsel hayata ilişkin veriler sır saklama yükümlülüğü altında bulunanlar tarafından koruyucu hekimlik, tıbbı teşhis gibi ilgili maddede sayılan konular için veri işlemenin gerekli olması halinde işlenebilir.
|
Kural: Özel nitelikli kişisel verilerin işlenmesi yasaktır. İstisna: Aşağıda sayılan hallerde özel nitelikli kişisel veriler işlenebilir: 1. İlgili kişinin açık rızasının bulunması 2. Kanunlarda açıkça öngörülen haller 3. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması 4. İlgili kişinin özel nitelikli kişisel verilerini alenileştirmesi 5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması 6. Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinin gerekli olması 7. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması 8. Bazı özel nitelikli kişisel verilerin siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından işlenebilmesi
|
- Kişisel verilerin yurtdışına aktarılmasında yeni kapsam ve sistematik belirlenmektedir.
Kanun Teklifi ile getirilen değişikliklere göre Kanun’un 9. maddesinde yer alan kişisel verilerin yurt dışına aktarılması usulünde değişikliğe gidilerek kişisel verilerin yurt dışına aktarılabilmesi için Kanun’un 5.maddesinin ikinci fıkrası ile 6.maddesinin üçüncü fıkrasında yer alan belirli veri işleme şartlarının varlığı yanında aktarılacak ülkede yeterli korumanın sağlanmış olması aranacaktır.
Teklife göre yeterli korumaya dair Kişisel Verileri Koruma Kurulu tarafından hakkında yeterli korumayı sağladığı yönünde karar bulunmayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörlere açık rıza aranmaksızın kişisel verilerin aktarılması ancak şu şartların sağlanması durumunda mümkün olacaktır:
- Veri işleme şartlarından birinin bulunması şartı
- Aktarımın yapılacağı ülkede de ilgili kişinin hakları kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartı
- “Uygun güvencelerden” birinin sağlanması
Teklif’te aynı zamanda Kanun’da yer alan düzenlemenin ve Kurul’un çok az başvuruya izin vermesinin ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılmasını nerdeyse imkansız hale getirdiği belirtilirken Kanun’un şu anki uygulamasından farklı olarak yabancı ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilmesine imkan tanınacaktır. Yeterlilik kararı bulunmayıp uygun güvencelerden birinin sağlanamadığı bazı istisnai durumlarda tek veya birkaç sefer ve süreklilik taşımayacak şekilde, yurt dışına veri aktarılmasına imkân sağlanmaktadır. Örneğin; Türkiye’deki bir şirketin yurt dışında bulunan bir şirketle arızi olarak gerçekleştirmeyi düşündüğü ticari faaliyet bakımından muhatap şirketle irtibat halinde olacak çalışanlarına ilişkin bilgileri paylaşabilecektir.
Teklifle getirilen geçiş hükmüne göre Kanun değişikliğinin yürürlüğe girmesinden önce alınmış veya sonra alınacak açık rızaya dayalı olarak yurt dışına veri aktarılmasına Kanun değişikliğinin yürürlüğe girmesinden itibaren üç ay daha imkân tanınacaktır.
- Sözleşmeyi bildirim yükümlülüğünün yerine getirilmemesi idari yaptırıma bağlanmaktadır.
Teklif kapsamında belirtilen yurtdışı aktarım durumunda Kişisel Verileri Koruma Kurumu’nun yayımladığı standart sözleşme seçeneğinin uygulanması halinde veri sorumlularına bir bildirim yükümlülüğü öngörülmektedir. Kurum’a sözleşmeye dair 5 (beş) iş günü içerisinde bildirim yapılmaması halinde ilgili veri sorumlusu ya da veri işleyene 50.000TL ile 1.000.000TL arasında idari para cezası tatbik etme yetkisi getirilmektedir.
Düzenleme ile veri işleyenlere standart sözleşmenin bildirilmesi bakımından ilk kez sorumluluk yüklenmiş olmaktadır.
- Kişisel Verileri Koruma Kurulu kararlarına karşı itiraz yolunda değişikliğe gidilmektedir.
Kişisel Verileri Koruma Kurulu’nca verilen idari yaptırım kararlarının mahiyeti dikkate alınarak, bu kararlara karşı sulh ceza hâkimliğine başvuru yerine idare mahkemelerine dava açılması imkânı tanınmaktadır. Artık bağımsız idari otorite olan Kurul’un kararlarını idari yargı denetimine tabi tutmak mümkün hale gelecektir.
Düzenlemelerin yürürlüğe girmesi halinde getirilen geçiş düzenlemesi uyarınca 01.06.2024 tarihi itibarıyla sulh ceza hâkimlikleri önünde bulunan dosyalar, bu hâkimliklerce nihai olarak karara bağlanacaktır.
Sonuç itibariyle planlanan değişikliklerin hayata geçmesi halinde, bilhassa özel nitelikli kişisel verilerin işlenmesinde çoğunlukla açık rıza şartına dayanılması zorunluluğu ile yurtdışına kişisel veri aktarımı sebebiyle ilgili kişilerin açık rızalarının temin edilmesinin fiiliyatta tek seçenek haline gelmiş olması gibi veri sorumluları yönünden pratikte zorluk yaratan hususların kolaylaşacağını söylemek mümkündür. Teklifin yasalaşması ile beraber VERBIS kayıtlarının güncellenmesi, şirketlerin gizlilik politikalarını, aydınlatma metinlerini, çerez politikalarını, açık rıza metinlerini ve yurt dışı veri aktarım yöntemlerini gözden geçirmesi ihtiyacı doğacaktır.
.Saygılarımızla,
Vahdet Deniz AKÇAOĞLU
“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”
16/02/2024 tarihli ve 2/2023 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi’nin KVKK düzenlemesiyle ilgili 33-34-35 ve 36. maddelerinin tam metni: