Geçtiğimiz günlerde 8. Yargı Paketinin açıklanması ile yargı paketinde yer alan 6698 sayılı Kişisel Verileri Koruma Kanunu’na (KVKK) ilişkin değişiklik teklifi tanıtıldı. Sunulan değişiklik teklifinde; şirketlerin uygulamada da çoğunlukla sorun yaşadığı özel nitelikli kişisel verilerin işlenme şartları ve veri aktarım koşulları gibi hususların yer aldığı görülmektedir. Teklifin gerekçesinden de anlaşıldığı üzere Türkiye’de mevcut kişisel verileri koruma mevzuatının Avrupa Birliği Genel Veri Koruma Tüzüğü’ne bir adım daha yaklaştırılmaya çalışılmıştır. Bu durumun; Türk şirketlerin ticari hayatta yaşadıkları zorlukları ve yabancı bilişim sistemlerinin kullanımında oluşan sıkıntıları hafifletmesi ve Avrupa Birliği ile yakın temasta olan şirketlerin süreçlerini kolaylaştırması bekleniyor. Zira birçok şirket insan kaynakları süreçlerinden tedarik süreçlerine kadar her noktada veri koruma mevzuatının bazı engellerine takılmaktaydı. Bu nedenle ticari hayatın gerekliliklerine uygun ve hızını yakalayan, ilgili kişinin haklarının korunması ile şirketlerin faaliyetlerini yerine getirmesi arasındaki dengeyi kuran bir değişikliğe ihtiyaç mevcuttu. Teklifin ticari hayatta veri korumaya ilişkin sorunların çözümü olup olmayacağı sorusuna ise ilerleyen günlerde, uygulamadaki örnekleri görerek yanıt bulacağız.
Bu yazımızda; kişisel verilerin korunması mevzuatındaki değişikliğin şirketler bakımından ne anlama geldiğine ve mevzuata uyumluluk bakımından dikkat etmeleri gereken noktalara değineceğiz.
Mevzuatta öngörülen değişiklikleri 4 ana başlıkta inceleyebiliriz:
1-KVKK m.6 Özel Nitelikli Kişisel Verilerin İşlenmesi
Her ne kadar özel nitelikli kişisel verilerin işlenmesine ilişkin değişiklik Teklif metninde mevcut olsa da unutulmamalıdır ki hala özel nitelikli kişisel verilerin işlenmesinden mümkün olduğu ölçüde kaçınılmalıdır. Ancak yapılan değişiklikle özel nitelikli kişisel verilerin işlenmesinde bazı istisnalar getirilerek iş süreçleri kolaylaştırılmaya çalışılmıştır. İstisnalar aşağıdaki şekildedir.
İlgili kişinin açık rızasının bulunması
-Kanunlarda açıkça öngörülen haller
-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
-İlgili kişinin özel nitelikli kişisel verilerini alenileştirmesi
-Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
-Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinin gerekli olması
-İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması
-Bazı özel nitelikli kişisel verilerin siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından işlenebilmesi
2- KVKK m. 9: Kişisel verilerin yurt dışına aktarılması
Kanun’un 5/2 ve 6/3 maddelerindeki hallerden birinin varlığı ve kişisel verilerin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı verilmiş olması gerekmektedir.
Mevcut düzenlemeden farklı olarak yabancı ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilmesine imkân tanınmaktadır.
Yeterlilik kararı bulunmayan ülkeye aktarım yapılabilmesi bakımından;
-Uluslararası kuruluş veya ülke içerisindeki sektörlere, 5 inci ve 6 ncı maddelerdeki veri işleme şartlarından birinin varlığı halinde, aktarımın yapılacağı ülkede de ilgili kişinin haklarım kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla, fıkrada bentler halinde sayılan "uygun güvencelerden" birinin sağlanması durumunda kişisel veri aktarılması mümkün olacaktır.
-Aynı teşebbüs grubundaki şirketlerin uymakla yükümlü oldukları ve kişisel verilerin korunmasına ilişkin hükümler ihtiva eden Kurulun onayladığı bağlayıcı şirket kurallarının varlığı halinde, 5 inci ve 6 ncı maddedeki veri işleme şartlarından birinin bulunması kaydıyla, Kuruldan ayrıca izin almaya gerek olmadan bu şirketler arasında veri aktarımı yapılabilecektir.
-Kurul tarafından ilan edilen standart sözleşmenin imzalanması suretiyle ayrıca bir izne ihtiyaç olmaksızın veri aktarılması mümkün olabilecektir.
-Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi durumunda da yeterlilik kararı bulunmayan bir ülkeye kişisel veri aktarılabilecektir.
Yeterlilik kararı veya uygun güvenceler mevcut değilse ve ancak arızi olarak;
-İlgili kişinin aktarıma açık rıza vermesi
-Bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirler için aktarım faaliyetinin zorunlu olması
-Kamu yararı bulunması
-Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
-Fiili imkansızlık nedeniyle rızasını açıklayamayan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisi ya da bir başkasının hayatı veya beden bütünlüğünün korunması için aktarımın zorunlu olması
-Kamuya veya meşru menfaati bulunan kişilere açık bir sicilden öngörülen şartları sağlayarak aktarım yapılması
3- KVKK m. 18: Kabahatler
Değişiklik ile ve m. 9/5 uyarınca veri sorumluları veya veri işleyenler, imzalanan standart sözleşmeyi Kuruma bildirmekle yükümlüdür. Bu bildirim yükümlülüğünün yerine getirilmemesi idari yaptırıma bağlanmaktadır. İşbu yönde yeni bir kabahatin Kanun tarafından düzenlendiğini görmekteyiz.
Ayrıca birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında; (d) bendinde öngörülen idari para cezası ise veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri
hakkında uygulanacaktır. Bu değişiklik ile veri işleyene standart sözleşmenin bildirilmesi bakımından ilk kez bir yükümlülük yüklenmiştir.
Ek olarak, Kurulca verilen idari yaptırım kararlarına mahiyeti dikkate alınarak, bu kararlara karşı sulh ceza hâkimliğine başvuru yerine idare mahkemelerine dava açılması imkânı tanınmaktadır.
4- Ek Geçici Madde 3:
Mevcuttaki 9/1 ve değiştirilen/mülga 9/1, 01.09.2024 tarihine kadar birlikte uygulanacaktır.
01.06.2024 tarihi itibariyle sulh ceza hakimliklerinde görülmekte olan başvurular bu hakimliklerce görülmeye devam edilecektir.
Geçtiğimiz günlerde 8. Yargı Paketinin açıklanması ile yargı paketinde yer alan 6698 sayılı Kişisel Verileri Koruma Kanunu’na (KVKK) ilişkin değişiklik teklifi tanıtıldı. Sunulan değişiklik teklifinde; şirketlerin uygulamada da çoğunlukla sorun yaşadığı özel nitelikli kişisel verilerin işlenme şartları ve veri aktarım koşulları gibi hususların yer aldığı görülmektedir. Teklifin gerekçesinden de anlaşıldığı üzere Türkiye’de mevcut kişisel verileri koruma mevzuatının Avrupa Birliği Genel Veri Koruma Tüzüğü’ne bir adım daha yaklaştırılmaya çalışılmıştır. Bu durumun; Türk şirketlerin ticari hayatta yaşadıkları zorlukları ve yabancı bilişim sistemlerinin kullanımında oluşan sıkıntıları hafifletmesi ve Avrupa Birliği ile yakın temasta olan şirketlerin süreçlerini kolaylaştırması bekleniyor. Zira birçok şirket insan kaynakları süreçlerinden tedarik süreçlerine kadar her noktada veri koruma mevzuatının bazı engellerine takılmaktaydı. Bu nedenle ticari hayatın gerekliliklerine uygun ve hızını yakalayan, ilgili kişinin haklarının korunması ile şirketlerin faaliyetlerini yerine getirmesi arasındaki dengeyi kuran bir değişikliğe ihtiyaç mevcuttu. Teklifin ticari hayatta veri korumaya ilişkin sorunların çözümü olup olmayacağı sorusuna ise ilerleyen günlerde, uygulamadaki örnekleri görerek yanıt bulacağız.
Bu yazımızda; kişisel verilerin korunması mevzuatındaki değişikliğin şirketler bakımından ne anlama geldiğine ve mevzuata uyumluluk bakımından dikkat etmeleri gereken noktalara değineceğiz.
Mevzuatta öngörülen değişiklikleri 4 ana başlıkta inceleyebiliriz:
1-KVKK m.6 Özel Nitelikli Kişisel Verilerin İşlenmesi
Her ne kadar özel nitelikli kişisel verilerin işlenmesine ilişkin değişiklik Teklif metninde mevcut olsa da unutulmamalıdır ki hala özel nitelikli kişisel verilerin işlenmesinden mümkün olduğu ölçüde kaçınılmalıdır. Ancak yapılan değişiklikle özel nitelikli kişisel verilerin işlenmesinde bazı istisnalar getirilerek iş süreçleri kolaylaştırılmaya çalışılmıştır. İstisnalar aşağıdaki şekildedir.
İlgili kişinin açık rızasının bulunması
-Kanunlarda açıkça öngörülen haller
-Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması
-İlgili kişinin özel nitelikli kişisel verilerini alenileştirmesi
-Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
-Kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesinin gerekli olması
-İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması
-Bazı özel nitelikli kişisel verilerin siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluş ya da oluşumlar tarafından işlenebilmesi
2- KVKK m. 9: Kişisel verilerin yurt dışına aktarılması
Kanun’un 5/2 ve 6/3 maddelerindeki hallerden birinin varlığı ve kişisel verilerin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı verilmiş olması gerekmektedir.
Mevcut düzenlemeden farklı olarak yabancı ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilmesine imkân tanınmaktadır.
Yeterlilik kararı bulunmayan ülkeye aktarım yapılabilmesi bakımından;
-Uluslararası kuruluş veya ülke içerisindeki sektörlere, 5 inci ve 6 ncı maddelerdeki veri işleme şartlarından birinin varlığı halinde, aktarımın yapılacağı ülkede de ilgili kişinin haklarım kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla, fıkrada bentler halinde sayılan "uygun güvencelerden" birinin sağlanması durumunda kişisel veri aktarılması mümkün olacaktır.
-Aynı teşebbüs grubundaki şirketlerin uymakla yükümlü oldukları ve kişisel verilerin korunmasına ilişkin hükümler ihtiva eden Kurulun onayladığı bağlayıcı şirket kurallarının varlığı halinde, 5 inci ve 6 ncı maddedeki veri işleme şartlarından birinin bulunması kaydıyla, Kuruldan ayrıca izin almaya gerek olmadan bu şirketler arasında veri aktarımı yapılabilecektir.
-Kurul tarafından ilan edilen standart sözleşmenin imzalanması suretiyle ayrıca bir izne ihtiyaç olmaksızın veri aktarılması mümkün olabilecektir.
-Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi durumunda da yeterlilik kararı bulunmayan bir ülkeye kişisel veri aktarılabilecektir.
Yeterlilik kararı veya uygun güvenceler mevcut değilse ve ancak arızi olarak;
-İlgili kişinin aktarıma açık rıza vermesi
-Bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirler için aktarım faaliyetinin zorunlu olması
-Kamu yararı bulunması
-Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
-Fiili imkansızlık nedeniyle rızasını açıklayamayan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisi ya da bir başkasının hayatı veya beden bütünlüğünün korunması için aktarımın zorunlu olması
-Kamuya veya meşru menfaati bulunan kişilere açık bir sicilden öngörülen şartları sağlayarak aktarım yapılması
3- KVKK m. 18: Kabahatler
Değişiklik ile ve m. 9/5 uyarınca veri sorumluları veya veri işleyenler, imzalanan standart sözleşmeyi Kuruma bildirmekle yükümlüdür. Bu bildirim yükümlülüğünün yerine getirilmemesi idari yaptırıma bağlanmaktadır. İşbu yönde yeni bir kabahatin Kanun tarafından düzenlendiğini görmekteyiz.
Ayrıca birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları, veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında; (d) bendinde öngörülen idari para cezası ise veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri
hakkında uygulanacaktır. Bu değişiklik ile veri işleyene standart sözleşmenin bildirilmesi bakımından ilk kez bir yükümlülük yüklenmiştir.
Ek olarak, Kurulca verilen idari yaptırım kararlarına mahiyeti dikkate alınarak, bu kararlara karşı sulh ceza hâkimliğine başvuru yerine idare mahkemelerine dava açılması imkânı tanınmaktadır.
4- Ek Geçici Madde 3:
Mevcuttaki 9/1 ve değiştirilen/mülga 9/1, 01.09.2024 tarihine kadar birlikte uygulanacaktır.
01.06.2024 tarihi itibariyle sulh ceza hakimliklerinde görülmekte olan başvurular bu hakimliklerce görülmeye devam edilecektir.