2 Mart 2024 tarihinde Türkiye Büyük Millet Meclisi’nde kabul edilen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Kanun”) ile 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) önemli bazı değişikler ve yenilikler yapılmıştır. Kanun henüz Resmî Gazete’de yayımlanmamış olmakla birlikte, değişikliklerin 1 Haziran 2024 tarihinde yürürlüğe girmesi öngörülmüştür. [Güncelleme: Kanun 12 Mart 2024 tarihli Resmî Gazete’de yayımlanmıştır.]
Değişikliklerin özetini aşağıda takdim ediyoruz. Kanun’un tam metnine buradan ulaşabilirsiniz.
1. Özel Nitelikli Kişisel Verilerin[1] İşlenmesine İlişkin Şartlar
1.1 Mevcut Düzenleme
KVKK’daki mevcut düzenleme (KVKK madde 6) uyarınca, kişiye ait özel nitelikli kişisel verilerin, ilgili kişinin açık rızası olmaksızın işlenmesi prensip olarak yasaktır. Bununla birlikte,
– sağlık ve cinsel hayat verileri haricindeki özel nitelikli kişisel veriler, işlenmelerinin kanunlarda öngörülmesi hâlinde ve
– sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler ise yalnızca sınırlı sayıda belirtilen amaçlarla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından
ilgili kişinin açık rızası aranmaksızın işlenebilmektedir.
1.2 Değişiklikler
Kanun ile birlikte, özel nitelikli kişisel verilerin işleme şartları, yani KVKK madde 6, aşağıdaki şekilde yeniden düzenlenmiştir:
– ilgili kişinin açık rızası olması,
– sağlık ve cinsel hayat verileri de dahil olmak üzere özel nitelikli kişisel verilerin tamamı için, işlenmesinin kanunlarda öngörülmesi,
– fiili imkânsızlık nedeniyle rızasını açıklayamayacak veya rızasına hukuki geçerlilik tanınmayan kişilerin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlenmesinin zorunlu olması,
– veri işlemenin, ilgili kişinin alenileştirdiği özel nitelikli kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
– bir hakkın tesisi, kullanılması veya korunması için özel nitelikli kişisel veri işlenmesinin zorunlu olması,
– özel nitelikli kişisel veri işlenmesinin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
– istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanında hukuki yükümlülüklerin yerine getirilmesi için veri işlenmesinin zorunlu olması ve
– siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla, mevcut veya eski üyelerine ve mensuplarına veya bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.
İlgili düzenleme ile özellikle çalışanlara ait özel nitelikli kişisel verilerin, istihdam ilişkisi sebebiyle ve iş sağlığı ve güvenliğinden kaynaklanan sebeplerle işverenler tarafından işlenmesi mümkün kılınmıştır.
2. Yurt Dışına Kişisel Veri Aktarımı Şartları
2.1 Mevcut Düzenleme
KVKK’daki mevcut düzenleme uyarınca kişisel verilerin yurt dışına aktarımı,
– veri sahibinin açık rızası olması,
– KVKK’nın 5/2. maddesi[2] ile 6/3. maddesinde[3] sayılan hukuka uygunluk sebeplerinden birinin varlığı ve aktarımın yapılacağı yabancı ülkede yeterli korumanın bulunması,
– yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından aktarıma izin verilmesi ve
– birden çok ülkede faaliyet gösteren uluslararası grup şirketleri için, grup şirketlerin her birinin uymakla yükümlü olduğu bağlayıcı şirket kurallarının Kurul tarafından onaylanması
hâllerinde mümkündür. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından yeterli korumanın bulunduğu ülke listesinin henüz açıklanmaması sebebiyle kişisel veriler mevcut durumda büyük çoğunlukla ilgili kişilerin açık rızalarının alınması şartıyla yurt dışına aktarılabilmektedir.
2.2 Değişiklikler
Kanun ile yapılan değişiklikle, genel açık rıza yöntemi ile aktarım seçeneği kaldırılarak, mevcut durumun yerine üç yurt dışına aktarım kategorisi belirlenmiştir:
(a) Yeterlilik Kararının Bulunduğu Ülkelere Kişisel Veri Aktarımı
KVKK tahtında kişisel verilerin veya özel nitelikli kişisel verilerin işlenme şartlarından (KVKK madde 5[4] ve 6[5]) birinin varlığı ve Kurul tarafından aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması hâlinde kişisel veriler veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir. Yeterlilik kararı verilirken Kurul’un karşılıklılık esası dâhil çeşitli hususları dikkate alacağı düzenlenmiştir.
Yeni düzenleme ile hem yabancı ülkeler hakkında hem de ülkeler içerisindeki sektörler veya uluslararası kuruluşlar bakımından yeterlilik kararı verilmesi imkânı tanınmıştır. Lakin, ülke yeterlilik kararı seçeneği 2016 yılından beri mevcut olmakla birlikte, henüz Kurum tarafından hakkında yeterlilik kararı verilen bir ülke bulunmamaktadır.
(b) Yeterli Önlemlerin Alınması (Uygun Güvenceler)
Yeni düzenleme uyarınca (a) bendinde belirtilen yeterlilik kararının bulunmaması hâlinde KVKK’nın 5. maddesi veya 6. maddesinde yer alan kişisel verilerin veya özel nitelikli kişisel verilerin işlenme şartlardan birinin varlığı ve ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla,
– yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında, uluslararası sözleşme niteliğinde olmayan anlaşma akdedilmesi ve Kurul tarafından aktarıma izin verilmesi,
– birden çok ülkede faaliyet gösteren teşebbüs grubu için teşebbüs grubu üyelerin her birinin uymakla yükümlü olduğu bağlayıcı şirket kurallarının Kurul tarafından onaylanması,
– Kurul tarafından ilan edilen, kişisel veri aktarımının amaçları, aktarılan veri kategorileri, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler ve özel nitelikli kişisel veriler için alınan ek önlemleri içeren standart sözleşmenin varlığı[6] veya
– Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul tarafından aktarıma izin verilmesi
hâlinde kişisel verilerin yurt dışına aktarımı mümkün olacaktır.
İlgili değişiklik kapsamında, standart sözleşme imzalanması seçeneğinin getirilmiş olması önemlidir. Zira bağlayıcı şirket kuralları ve taahhütname yöntemlerinden farklı olarak, bu seçenek için Kurul onayı zorunluluğu bulunmamakta, Kurum’a bildirim yapılması yeterli bulunmaktadır. Lakin standart sözleşme taslağı henüz yayınlanmamıştır.
Bununla birlikte, yukarıda anılan tüm bu seçenekler için, KVKK’nın 5. maddesi veya 6. maddesinde yer alan kişisel verilerin veya özel nitelikli kişisel verilerin işlenme şartlardan birinin varlığına ek olarak, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması zorunluluğu getirilmiştir. Bu aşamada Kurum tarafından ilgili kişilerin hangi ülkelerde haklarını kullanma ve etkili kanun yoluna başvurma imkanının olduğuna ilişkin bir açıklama yapılmamıştır.
(c) Arızi Nedenlerle Yurt Dışına Aktarım
Yukarıda (a) bendinde belirtilen yeterlilik kararının bulunmaması ve (b) bendinde belirtilen yeterli önlemlerden herhangi birinin sağlanamaması hâlinde, arızi olmak kaydıyla,[7]
– ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla aktarıma açık rıza vermesi,
– aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması,
– aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması,
– aktarımın üstün bir kamu yararı için zorunlu olması,
– aktarımın bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
– aktarımın fiili imkânsızlık nedeniyle rızası açıklayamayacak veya rızasına hukuki geçerlilik tanınmayan kişilerin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
– kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması
hâllerinde kişisel verilerin yurt dışına aktarımı mümkün olacaktır.
Veri sorumluları ve veri işleyenler tarafından öncelikli olarak genel kurallara uygun olarak kişisel verilerin yurt dışına aktarılması, bunun mümkün olmaması hâlinde arızi olarak veri aktarımı yapılması gerekmektedir. Bu kapsamda, örneğin yurt dışında bulunan bir şirketle gerçekleştirilmesi düşünülen ticari faaliyetler için, tek veya birkaç seferlik olarak ve süreklilik arz etmemek üzere kişisel verilerin aktarılmasına imkân tanınmıştır. Lakin ilgili düzenleme, veri sorumlularının sürekli olarak yurt dışı sunucuları kullanmalarına izin verildiği biçimde yorumlanmamalıdır.
3. Kişisel Verilerin Yurt Dışında Sonraki Aktarımları İçin Getirilen Özel Yükümlülük
3.1 Mevcut Düzenleme
KVKK’daki mevcut düzenlemede, veri sorumluları veya veri işleyenlere yönelik, kişisel verilerin yurt dışına ilk aktarımından sonraki aktarımlar için bir yükümlülük öngörülmemiştir.
3.2 Değişiklikler
Kanun ile getirilen değişiklikler ile, veri sorumluları ve veri işleyenler için, hangi yöntemi kullanıyor olursa olsunlar, kişisel verilerin yurt dışına aktarılmasından sonraki aktarımlar bakımından da KVKK’daki güvenceleri sağlama ve sonraki aktarımlar için de yurt dışına aktarıma ilişkin yukarıda açıklanan hükümleri uygulama zorunluluğu öngörülmüştür.
Yeni düzenleme ile, veri sorumluları ve veri işleyenlere veri aktarımının yapılacağı ülke ve ülkeler hukukuna yönelik kapsamlı ve daha yakın bilgi sahibi olma ve bu aktarımı her aşamada takip etme yükümlülüğü getirilmiştir.
4. Yurt Dışına Aktarım Kapsamında Bildirim Yükümlülüğünü Yerine Getirmeyen Veri Sorumluları ve Veri İşleyenler
4.1 Mevcut Düzenleme
KVKK’daki mevcut düzenlemede, standart sözleşme imzalamak sureti ile yurt dışına aktarım imkânı ve bu kapsamda bir bildirim yükümlülüğü bulunmamaktadır.
Bununla birlikte, kişisel verilerin yurt dışına aktarımının temel sorumlusu olarak veri sorumlusu düzenlenmekte, idari para cezalarının temel muhatabı veri sorumluları olarak belirlenmiştir. Veri işleyenlerin doğrudan sorumluluğundan bahsedilmemektedir.
4.2 Değişiklikler
Kanun ile getirilen değişiklikler uyarınca, kişisel verilerin Kurul tarafından ilan edilecek standart sözleşmeye uygun olarak yurt dışına aktarılması hâlinde, sözleşmenin imzalanmasını takip eden beş (5) iş günü içerisinde veri sorumluları veya veri işleyenler tarafından Kurum’a bildirilmesi gerekmektedir. Sözleşmenin Kurum’a bildirilmemesi hâlinde bildirim yükümlülüğünü yerine getirmeyen veri sorumlusu ve veri işleyenler hakkında 50.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası uygulanabileceği düzenlenmiştir.
Söz konusu değişikliğin bir diğer önemli yanı, yurt dışına aktarım sürecinin sorumlusu olarak veri sorumlusunun yanında veri işleyenin de sayılması, bu kapsamda Kurum’a yapılacak bildirime ilişkin yükümlülüğünü yerine getirmeyen veri işleyenler hakkında da idari para cezası öngörülmüştür.
5. Kurul Tarafından Uygulanacak İdari Para Cezalarına Karşı Kanun Yolu
5.1 Mevcut Düzenleme
KVKK’daki mevcut düzenleme uyarınca, Kurul tarafından uygulanan idari para cezalarına karşı sulh ceza hakimliklerine başvuru yapılabilmektedir.
5.2 Değişiklikler
Kanun ile yapılan değişiklikle, idari para cezalarına karşı idare mahkemelerinde dava açılacaktır.
6. Yürürlük ve Geçiş Hükümleri
KVKK’da yapılan değişiklikler 1 Haziran 2024 tarihinde yürürlüğe girecektir. Bu doğrultuda, Kurul tarafından uygulanan idari para cezalarına ilişkin 1 Haziran 2024 tarihi itibarıyla sulh ceza hakimliklerinde görülmekte olan başvurular, bu hakimliklerce karara bağlanacaktır.
Bununla birlikte, KVKK’daki mevcut düzenleme uyarınca ilgili kişinin genel açık rızası alınarak yapılan yurt dışına aktarımlar, 1 Eylül 2024 tarihine kadar yapılmaya devam edilebilecektir. 1 Eylül 2024 tarihi itibarıyla yurt dışına aktarımların, yukarıda belirtilen esaslara uygun olarak yapılması gerekmektedir.
________________
Yukarıda anılan hususlar, ilgili konuların genel bir değerlendirmesidir ve hukuki mütalaa niteliğinde değildir. Her durum ayrıca incelenerek, kendi özellikleri çerçevesinde değerlendirilmeli, hukuki yapı buna göre tertip edilmelidir.
Konuyla ilgili sorularınıza Dr. Esin Çamlıbel ([email protected]), Av. Beste Yıldızili Ergül ([email protected]) ve Av. Canberk Taze ([email protected]) memnuniyetle cevap verecektir.
[1] Özel nitelikli kişisel veriler KVKK’da sınırlı sayıda belirlenmiştir. Buna göre kişilerin etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri, biyometrik ve genetik verileri özel nitelikli kişisel veri olarak addedilmektedir.
[2] KVKK’nın 5/2. maddesi uyarınca kişisel verilerin (1) kanunlarda açıkça öngörülmesi, (2) fiili imkansızlık nedeniyle rızasını açıklayamayacak veya rızasına hukuki geçerlilik tanınmayan kişilerin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, (3) bir sözleşmenin kurulması veya ifasıyla ilgili olması, (4) veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, (5) kişinin kişisel veriyi alenileştirmiş olması, (6) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ve (7) veri işlemenin, veri sorumlusunun meşru menfaatleri için zorunlu olması hâllerinde ilgili kişinin açık rızası olmaksızın işlenmesi mümkündür.
[3] KVKK’nın 6/3. maddesi uyarınca özel nitelikli kişisel verilerin işlenme şartları için bkz. “1.1 Mevcut Düzenlemeler”.
[4] KVKK’nın 5. maddesi uyarınca, işbu bilgi notunun 2. dipnotunda yer verdiğimiz veri işleme şartlarına ek olarak, kişisel verilerin ilgili kişinin açık rızasına bağlı olarak işlenmesi de dahildir.
[5] KVKK’nın 6. maddesi uyarınca kişisel verilerin işlenme şartları için bkz. “1.2 Değişiklikler”.
[6] Standart sözleşme akdedilmesi hâlinde, sözleşmenin imzalanmasını takip eden beş (5) iş günü içerisinde sözleşmenin, veri sorumlusu veya veri işleyen tarafından Kurum’a bildirilmesi gerekmektedir.
[7] Kanun gerekçesinde “arızi olmak kaydıyla” kavramı, “tek veya birkaç sefer ve süreklilik taşımayacak şekilde” olarak izah edilmiştir.