22.03.2024

Yazarlar: Sema Çelebi, Özlem Gengönül, Serdarhan Güler, Sude Emir

6698 Sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) yapılan değişiklikleri de içeren “Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun” 12.03.2024 tarihli ve 32487 Sayılı Resmi Gazete’de yayımlanmıştır. KVKK’da yapılan değişiklikler kapsamında, uygulamada meydana gelen ihtiyaçların giderilmesi, veri sorumlularının yaşadığı somut problemlere cevap verilebilmesi, tıkanan işlemlerin çözüme kavuşturulabilmesi ve Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uyum sağlanabilmesi amacıyla KVKK’nın hâlihazırda yürürlükte olan özel nitelikli kişisel verilerin işlenmesine (Madde 6), yurt dışına veri aktarımı yapılmasına (Madde 9), kabahatlere ilişkin hükümlerinde (Madde 18) değişiklik yapılmış ve bir geçiş süresi yaratılması için ise geçici bir madde (Geçici Madde 3) öngörülmüştür.

Değişiklik, iki aşamalı bir geçiş öngörmektedir. Buna göre; açık rızaya dayalı yurt dışına veri aktarımı düzenlemeleri 9. Maddenin bu Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1 Eylül 2024 tarihine kadar uygulanmaya devam olunacak kalan düzenlemeler ise 1 Haziran 2024’te yürürlüğe girecektir.

A. Özel Nitelikli Kişisel Verilerin İşlenme Şartları (Madde 6)

KVKK’nın “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlıklı 6. maddesinde yapılan değişiklik ile özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm muhafaza edilmekle birlikte özel nitelikli kişisel veriler içerisindeki ayrım kaldırılmış ve tüm özel nitelikli kişisel verilerin işlenme şartları genişletilerek hüküm altına alınmıştır. Fakat bu durum geniş yorumlanmamalıdır. İşleme, ilgili kişilerin menfaati göz önünde bulundurularak,  işlendikleri amaçla bağlantılı olma, sınırlı ve ölçülü olma ilkeleri ışığında gerçekleştirilmelidir.

Yapılan değişiklikleri sırasıyla inceleyecek olursak;

Açık rızaya dayalı olarak özel nitelikli kişisel verilerin işlenmesine imkan tanıyan hukuka uygunluk sebebi muhafaza edilmiştir.

Kanunlarda açıkça öngörülmesi halinde özel nitelikli kişisel verilerin açık rıza aranmaksızın işlenebilmesine olanak sağlanmıştır.

Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması halinde açık rıza aranmaksızın özel nitelikte kişisel veriler işlenebilecektir.

İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması yeni bir hukuka uygunluk sebebi olarak karşımıza çıkmaktadır. Fakat burada üzerinde durulması gereken husus; işlenen özel nitelikte kişisel verilerin ilgilinin alenileştirme iradesine uygunluğunun tespit edilmesidir. Her somut olay kendi özelinde değerlendirilerek alenileştirme iradesine dikkat edilmeli, işleme yaparken sınırlı ve ölçülü şekilde hareket edilmelidir.

Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olduğu haller de hukuka uygunluk nedenleri arasına eklenmiştir.  

Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması hukuka uygunluk sebeplerine eklenmiştir. Bu kapsamda bahsedilen aslında sağlık verileridir.

Kanundaki bir diğer değişiklik istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması halidir. Bu değişikliğin işçi – işveren uygulamaları açısından konuyu doğrudan etkileyen diğer istisna olan bir hakkın tesisi, kullanılması veya korunması için zorunluluk hali ile birlikte değerlendirilmesi doğru olacaktır.

Değişiklikten önceki hükümde işverenin işçisinin özel nitelikli kişisel verilerini işlemesi için işçinin açık rızası gerekirken yapılan değişiklikle (d) veya (f) bendi kapsamında açık rıza olmaksızın özel nitelikli kişisel verilerin işlenmesi mümkün olabilecektir. Böylece pratik hayatta herhangi bir işlemin icrasında işverenin önüne çıkan engeller ortadan kaldırılmış olacaktır. Ayrıca ilgilinin her daim açık rızasını geri alması mümkün olabildiğinden işçinin halihazırda vermiş olduğu açık rızayı geri aldığı andan itibaren işveren ihlal durumu ile karşı karşıya kalabilmekteydi. Buna karşın açık rıza alınmasını gerektirmeyen durumlarda açık rızanın geri alınamayacağı gözetildiğinde veri sorumlusu işveren açısından olumlu bir değişiklik olduğundan bahsedilebilecektir.

Kanunun gerekçesinde de belirtildiği üzere, örneğin, iş sözleşmesinin sona ermesinden sonra açılması muhtemel davalarda savunma hakkının kullanılması bakımından işverenin eski işçisine ait sağlık verilerini saklamaya devam etmesi (d) bendi kapsamında değerlendirilebilecek ve işçinin açık rızası aranmayacaktır.

Bununla birlikte 4857 sayılı İş Kanunu’nun 75 maddesi gereği “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.”.  Bu kapsamda yasal olarak özlük dosyası tutmakla yükümlü işveren herhangi bir davanın yargılama sürecinde mahkemece talep edildiği vakit, işçinin açık rızası bulunmasa dahi, işçinin özel nitelikle verilerinin yer aldığı özlük dosyasını mahkemeye herhangi bir ihlale sebep olmaksızın ibraz edilebilecektir.

Öte yandan (f) bendi ile de istihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olma özel nitelikli kişisel verilerin işlenmesi için bir hukuki işleme sebebi olarak tanımlanmıştır. Örneklendirmek gerekirse, 4857 sayılı İş Kanunu ile işverenlerin engelli veya eski hükümlü çalıştırma yükümlülüğünü yerine getirebilmesi bakımından işçilerin sağlık verilerinin veya ceza mahkûmiyetine ve güvenlik tedbirlerine ilişkin verilerinin işlenmesi bu kapsamda değerlendirilebilecektir.

Bunlara ek olarak (f) bendi kapsamında değerlendirilmesi gereken bir diğer düzenleme 6331 sayılı İş Sağlığı ve Güvenliği Kanunu 14. maddesinde düzenlenen iş kazası ve meslek hastalıklarının kayıt ve bildirimine ilişkin yükümlülüklerdir. Buna göre işveren, bütün iş kazalarının ve meslek hastalıklarının kaydını tutmak, gerekli incelemeleri yapmak ve rapor düzenlemekle ve bu bilgi ve belgeleri Sosyal Güvenlik Kurumu ile paylaşmakla yükümlüdür. Bu özel nitelikle kişisel veri işleme işlemi halinde de açık rıza aranmaksızın ve kişisel veri ihlaliyle karşı karşıya kalmaksızın söz konusu verilerin işlenmesi mümkün olabilecektir.

Fakat yapılan değişiklikler; yukarda da ifade ettiğimiz üzere; geniş yorumlanmamalıdır. Kişisel verilerin işlendikleri amaçla bağlantılı olması, sınırlı ve ölçülü olması ilkeleri ışığında bu yükümlülüğün nasıl yerine getirilebileceğinin tespit edilmesi önem arz etmektedir.

Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, hali de hukuka uygunluk sebepleri arasına eklenmiştir. Kuruluşların, tâbi oldukları mevzuata ve amaçlarına uygun olmak ve meşru faaliyet alanlarıyla sınırlı işlemenin yalnızca kuruluşun üyeleri veya eski üyeleri veya faaliyetlerinin amacı ile bağlantılı olarak kuruluşla düzenli teması olan kişilerle ilgili olması ve kişisel verilerin veri sahiplerinin rızası olmadan harici olarak üçüncü kişilerle paylaşılmaması koşuluyla işlenmesi mümkündür.

B. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarımı (Madde 9)

I. Yurt Dışına Kişisel Veri Aktarımına İlişkin Genel İlkeler

Değişiklikle birlikte ilgili kişinin yurt dışına verisi aktarılsa da özel nitelikteki kişisel verilerinin Türkiye’de korunduğu gibi korunması ilke edinilmiştir. Bununla beraber, veri sorumlusunun yanında veri işleyenin de sorumluluğu ilk defa açıkça tanımlanmıştır.

II. Yeterlilik Kararı Temelinde Veri Aktarımı

Yeni düzenleme ile, kişisel verilerin yurt dışına aktarımı için bir ülkeye tam bir yeterlilik kararı verilmesi yerine kısmi yeterlilik kararı verilebilmesi, yani ülkenin bir sektörüne veya uluslararası kuruluşa da yeterlilik kararı verilebilmesi hüküm altına alınmıştır. Kısmi yeterlilik kararı için başvuru kapsamı, belirli işleme faaliyetleri veya üçüncü ülkedeki geçerli kanun ve yönetmeliklerin kapsamı gibi objektif kıstaslar temelinde açıkça sınırlandırılabilir. Yeterlilik kararı verilirken ilgili ülkenin mevzuatı, ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı, idari ve adli yollara başvurma imkânı ve Türkiye’nin ve aktarılacak tarafın üye olduğu kuruluşlar ve taraf olduğu sözleşmeler ile üçüncü ülke veya uluslararası kuruluştaki koruma düzeyinin Türkiye'dekine “esas itibariyle eşdeğer” olması koşulu aranmaktadır.

III. Güvencelere Tabi Veri Aktarımı

Yeterlilik kararının olmaması durumunda kişisel verilerin yurt dışına aktarımı veri sorumlusu veya veri işleyenin uygun güvenceleri sağlaması ve veri sahiplerine uygulanabilir haklar ve etkili yasal çözüm yollarının sunulması koşuluyla mümkündür. Bu güvenceler:

a) Kamu Kurumları Arasında Hukuki Bağlayıcılığı Olan Anlaşma

Türkiye ve yurt dışındaki kamu kuruluşları, uluslararası kuruluşlar ve kamu kurumu niteliğindeki meslek kuruluşları arasında uluslararası sözleşme niteliğinde olmayan, ancak kanaatimizce yasal bağlayıcılığı olan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi

b) Bağlayıcı Şirket Kuralları (Binding Corporate Rules/ BCR)

Veri korumaya ilişkin bağlayıcı şirket kuralları, kişisel verilerin yeterlilik kararı bulunmayan üçüncü ülkelere aktarılması için uygun güvenceler sağlamanın yollarından biridir. Şirket grupları veya ortak ekonomik faaliyette bulunan teşebbüs grubunun içinde İlgili Kişinin kanun kapsamında aynı şekilde korunacağı şekilde bağlayıcı şirket kurallarının geliştirilmesi ve Kurul tarafından onay ile yurt dışına veri aktarımının yolu açılmıştır.

c) Standart Sözleşmelerin Varlığı

Detayları kurul tarafından ilan edilecek olmakla birlikte ilgili veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları içeren standart sözleşmenin kullanılması halinde de Kurul onayına gerek kalmadan yurt dışına aktarım mümkün kılınmıştır.

ç) Kurul Onaylı Yazılı Taahhütname

Yeterli korumayı sağlayacak hükümlerin varlığı halinde temel veri koruma ilkelerinin sağlanması, ilgili kişi için uygulanabilir hakların tanımlanması, etkili çözüm yolları sağlanması ve yasal olarak bağlayıcılık ve uygulanabilirlik taahhüdü ve Kurulun da onayı ile yurt dışına veri aktarımı yapılabilir.

IV. Yeterlilik Kararı ve Uygun Güvencenin Bulunmaması Halinde İstisnalar

Yeterlilik kararının veya uygun bir güvencenin bulunmaması halinde üçüncü bir ülkeye veya uluslararası bir kuruluşa yapılan aktarımın istisnai olması, söz konusu menfaatin İlgili Kişinin menfaati veya hakları ve özgürlükleri dikkate alınarak meşru amaçlar doğrultusunda gerekli olması halinde ve veri sorumlusunun aktarıma ilişkin gerekli özeni gösterdiği durumlarda kanunda belirtilen koşulların da sağlanması sürekli olmayan yani arızi şekilde veri aktarımı yapılabilir.

a) İlgili Kişinin bir yeterlilik kararı ve uygun güvenceler olmaksızın ilgili olası riskler hakkında bilgilendirildikten sonra aktarıma açıkça onay vermiş olması,

b) İlgili Kişi ile Veri Sorumlusu arasındaki bir sözleşmenin ifası için veya bir sözleşmeye girmeden önce İlgili Kişinin talebi üzerine sözleşme için gerekli işlemler için gerekli olması,

c) Aktarımın Veri Sorumlusu tarafından İlgili Kişinin menfaatine olacak şekilde başka bir gerçek veya tüzel kişi ile akdedilen bir sözleşmenin sonuçlandırılması veya yerine getirilmesi için gerekli olması,

ç) Kamu yararına ilişkin önemli nedenler için gerekli olması,

d) Mahkeme veya mahkeme dışındaki yasal taleplerin ileri sürülmesi, uygulanması veya savunulması için gerekli olması halinde veri aktarımı yapılabilir. İletimden önce, iletilecek belge ve dosyaların kapsamı kesinlikle gerekli olanlarla sınırlandırılmalıdır.

e) Yine Madde 6’daki gibi kişinin fiziksel bütünlüğüne veya yaşamına dair yarar halinde kendi açık rızasını verememesi durumunda yine aktarım mümkündür.

f) Yasalar kapsamında kamuya bilgi sağlaması amaçlanan veya meşru bir menfaati olduğunu kanıtlayan herkese açık olan bir sicilden yurt dışına aktarım da meşru sayılmıştır.

V. Türkiye’nin veya İlgili Kişinin Ciddi Şekilde Zarar Göreceği Durumda Veri Aktarımı

9. fıkrada ise Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda hem ilgili kamu kurum veya kuruluşunun görüşü hem de Kurulun izni alınarak verilerin yurtdışına aktarılabileceği düzenlenmiştir.

SONUÇ:

1. Uygulamada doğan ihtiyaçların giderilmesi, veri sorumlularının yaşadığı somut problemlere cevap verilebilmesi, tıkanan işlemlerin çözüme kavuşturulabilmesi ve Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (“GDPR”) uyumun sağlanması amacıyla KVKK’da önemli değişiklikler yapılmıştır.

2. Özel nitelikli kişisel verilerin işlenmesine, yurt dışına veri aktarımı yapılmasına, idari yaptırımlar ve idari yaptırımlara karşı yapılacak başvurulara ilişkin hükümlerde birtakım değişiklikler yapılmıştır. Kanun geçici 3.madde ile yurt dışına veri aktarımına ilişkin sürecinin bu Kanunla değiştirilmeden önceki birinci fıkrası, maddenin yürürlüğe giren değişik haliyle birlikte 1 Eylül 2024 tarihine kadar uygulanmaya devam olunacağını diğer değişikliklerin 1 Haziran 2024 tarihinde yürürlüğe gireceğini hüküm altına almıştır.