6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (KVKK) düzenlenen bazı önemli hususların değiştirilmesine ilişkin hükümler içeren kanun değişikliği tasarısına dair yargı paketi 16 Şubat 2024 tarihinde TBMM’ye sunuldu.

Yurt dışına kişisel veri aktarımına ve özel nitelikli kişisel verilerin işlenmesine ilişkin kısıtlamalar üzerinde yoğunlaşan Tasarı, T.C. Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı tarafından Eylül 2023’te yayımlanan Orta Vadeli Program (2024-2026) uyarınca öngörüldüğü üzere KVKK’nın Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) başta olmak üzere AB müktesebatına uyumunun tamamlanmasına yönelik olarak ilk somut adımı teşkil etmektedir.

Tasarı’nın gerekçesinde özellikle yurt dışına kişisel veri aktarımı ile ilgili olarak sunucuları Türkiye dışında bulunan bulut tabanlı yazılım ve uygulamaların ticari pratikte yaygın olmasına karşın şirketler tarafından kullanılabilmesini mevcut durumun neredeyse imkânsız hale getirdiğinin altı çizilmektedir. Bu kapsamda Tasarı ile gerek kişisel verilerin yurt dışına aktarılmasına gerekse de özel nitelikli kişisel verilerin işlenmesine ilişkin şartların güncel ticari ihtiyaçlar ve GDPR nazara alınarak yeniden düzenlenmesi amaçlanmaktadır.

Kişisel verilerin yurt dışına aktarılması

Hâlihazırda, Türk hukuku uyarınca kişisel verilerin yurt dışına aktarılması yalnızca ilgili kişinin açık rızasının bulunması veya açık rızaya istisna teşkil eden bir durumun geçerli olduğu hallerde yeterli koruma sağladığı kabul edilen bir ülkeye aktarım yapılması ya da standart sözleşme hükümleri içeren taahhütname veya bağlayıcı şirket kuralları temelinde Kişisel Verileri Koruma Kurumu’nun (Kurum) ön izninin bulunması koşuluyla gerçekleştirilebilmektedir. Bununla birlikte uygulamada henüz hiçbir ülkenin yeterli koruma sağladığı kabul edilmemiştir ve Kurum taahhütname temelinde yurt dışına veri aktarımına izin verdiği yalnızca birkaç karar yayımlamıştır. Bu durum da çoğu şirketin ilgili kişilerin açık rızalarına dayanmak zorunda olduğu anlamına gelmekte olup bu yöntem hem pratik değildir hem de rızanın özgür iradeye dayalı olarak verilmediği durumlarda geçersiz olabileceği sebebiyle risklidir.

Tasarı ile kişisel verilerin yurt dışına aktarılmasına ilişkin yasal dayanağın tamamen değiştirilmesi teklif edilmekte olup bu kapsamda yurt dışına kişisel veri aktarımı (i) Kurum’un yeterlilik kararı vermiş olması; (ii) uygun güvencelerden birinin mevcut olması; veya (iii) diğer sayılan istisnai durumlardan biri halinde mümkün olacaktır. Yurt dışına kişisel veri aktarımına ilişkin yeni çerçevenin uygulanmasına yönelik usul ve esaslara ilişkin ayrı bir yönetmelik çıkarılacaktır.

Yeterlilik kararı. Tasarı, açık rızaya ilişkin bir istisnanın geçerli olduğu durumlarda (örneğin aktarımın kanuni bir yükümlülüğe uymak veya meşru bir menfaat için zorunlu olması), kişisel verilerin belirli bir ülke, uluslararası kuruluş veya sektöre ilişkin olarak Kurum tarafından alınan bir yeterlilik kararının varlığı halinde yurt dışına aktarılabileceğini öngörmektedir.

Yeterlilik kararının alınmasında mütekabiliyet, ilgili ülkenin mevzuatı, Türkiye’nin taraf olduğu uluslararası sözleşmeler ve üyesi olduğu küresel ve bölgesel kuruluşlar dikkate alınacaktır. Bu karar en geç dört yılda bir yeniden değerlendirilecektir.

Söz konusu düzenleme mevcut sisteme oldukça benzer olmakla birlikte Tasarı belirli bir kuruluş veya sektör ile sınırlı olabilecek daha spesifik yeterlilik kararları alınabilmesi için bir mekanizma getirmektedir. Bu durum pratikte Kurum’un yeterlilik kararları vermesini daha uygulanabilir hale getirebilir.

Uygun güvenceler. Tasarı, açık rızaya ilişkin istisnalardan birinin geçerli olduğu durumlarda, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıdaki uygun güvencelerden birinin sağlanması halinde kişisel verilerin Türkiye dışına aktarılabileceğini öngörmektedir:

(i) Yurt dışındaki bir kamu kurumu ile Türkiye’deki bir kamu kurumu arasında yapılan bir anlaşma ve aktarıma ilişkin Kurum’un ön izni;

(ii) Kurum tarafından onaylanan bağlayıcı şirket kuralları;

(iii) Kurum tarafından ilan edilen örneğe uygun olarak kabul edilen ve imzasından itibaren beş iş günü içerisinde Kurum’a bildirilmesi zorunlu olan standart sözleşme hükümleri; veya

(iv) YeterlikorumayısağlayacakhükümlerinyeraldığıyazılıbirtaahhütnameveaktarımailişkinKurum’un ön izni.

Tasarı’da söz konusu uygun güvencelerin yurt dışında gerçekleştirilecek sonraki veri aktarımlarında da sağlanması gerektiği düzenlenmiştir.

Tasarı ile getirilen en önemli gelişme, hâlihazırda yürürlükte olan ön izin süreci yerine, yalnızca Kurum’a yapılacak bir bildirim ile standart sözleşme hükümleri temelinde yurt dışına kişisel veri aktarımı yapılabilmesidir. Kurum’a beş iş günü içerisinde bildirimde bulunulmaması halinde tutarı 50.000 TL ila 1.000.000 TL arasında belirlenecek bir idari para cezasının uygulanması söz konusu olacaktır. Ön izin sürecinin kaldırılması, mevcut sistemdeki belirsizlik ve özellikle de başvuruların işleme konulduğu zaman süreci ile uğraşmak durumunda kalan şirketler için pratikte büyük bir engeli ortadan kaldıracaktır.

İstisnai durumlar. Tasarı uyarınca hem yeterlilik kararının hem de listelenen uygun güvencelerden herhangi birinin bulunmadığı durumlar için ise, arızi olmak kaydıyla, sayılan aşağıdaki istisnai hallerde yurt dışına kişisel veri aktarımının yapılabileceği düzenlenmiştir:

(i) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi;

(ii) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirleri uygulanması için zorunlu olması;

(iii) Aktarımın,ilgilikişiyararınaverisorumlusuvediğerbirgerçekveyatüzelkişiarasındayapılacakbir sözleşmenin kurulması veya ifası için zorunlu olması;

(iv) Aktarımın üstün bir kamu yararı için zorunlu olması;

(v) Bir hakkın tesisi, kullanılması veya korunması için aktarımın zorunlu olması;

(vi) Rızasını veremeyecek durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için aktarımın zorunlu olması; veya

(vii) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

KVKK’nın mevcut düzenlemeleri uyarınca açık rıza ana hukuki araç iken yukarıdaki düzenlemeler ilgili kişilerin kişisel verilerinin yurt dışına aktarılmasına ilişkin rızasının yalnızca istisnai durumlarda alınması gerektiğini açıkça ortaya koymaktadır. Tasarı’nın teklif edildiği şekilde kabul edilmesi durumunda eski kural yeni kurallar ile birlikte 1 Eylül 2024 tarihine kadar uygulanmaya devam edecektir.

Söz konusu istisnai durumların pratikte ne şekilde değerlendirileceği henüz belli olmayıp Tasarı uyarınca bu durumlara dayalı olarak yapılan aktarımların arızi olarak kalması şart koşulmaktadır. Başka bir ifade ile bu gerekçeler sürekli veri aktarımlarından ziyade yalnızca sınırlı, tek seferlik durumlar için kullanılabilecektir. Özellikle bir sözleşmenin akdedilmesi veya ifası için gerekli olan verilerin aktarılması durumu şirketlerin ilgisini çekecektir. Münferit bir sözleşme amacıyla gerçekleştirilen aktarımlar istisnai olarak nitelendirilebilecek ve herhangi bir ek formalite gerektirmeyecek iken, diğerleri yine de Kurum’a bildirilmesi gereken standart sözleşme hükümleri gibi uygun güvencelere tabi olacaktır. Söz konusu yeni istisnaların sınırlarını netleştirmek için muhtemelen ikincil mevzuat ve Kurum’un kararları yoluyla daha fazla yönlendirmeye ihtiyaç duyulacaktır.

Özel nitelikli kişisel verilerin işlenmesi

KVKK’nın mevcut hali uyarınca, sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunda açıkça öngörülmesi halinde ilgili kişilerin açık rızası bulunmaksızın işlenebilmektedir. Sağlık ve cinsel hayata ilişkin veriler ise ancak (i) kanunen sır saklama yükümlülüğü altında bulunan kişiler (işyeri hekimi gibi) veya yetkili kurum ve kuruluşlar tarafından, (ii) kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, rıza aranmaksızın işlenebilmektedir.

Tasarı uyarınca özel nitelikli kişisel verilerin ilgili kişilerin açık rızası alınmaksızın işlenebileceği hallerin genişletilmesi öngörülmektedir. Bu kapsamda özel nitelikli kişisel veriler aşağıdaki durumlarda açık rıza alınmaksızın işlenebilecektir:

(i) Kanunlarda açıkça öngörülmesi;

(ii) Rızasını veremeyecek durumda bulunan veya rızasına hukuki geçerlilik tanınmayan ilgili kişinin, kendisinin ya da bir başkasının hayatı ve beden bütünlüğünün korunması için zorunlu olması;

(iii) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması;

(iv) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması;

(v) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması;

(vi) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerinin yerine getirilmesi için zorunlu olması; veya

(vii) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Tasarı açık bir şekilde, şirketlerin çelişkili yasal tedbirler ile karşı karşıya kalmasına yol açan KVKK’nın mevcut düzenlemelerindeki bazı önemli boşlukları düzenlemeyi amaçlamaktadır. Tasarı kabul edildiğinde özellikle şirketler çalışanlarından açık rıza almak zorunda kalmadan, istihdam ilişkisi kapsamındaki yükümlülüklerini yerine getirmek veya işyerinde sağlık ve iş güvenliğini sağlamak amacıyla özel nitelikli kişisel verileri işlemek için açık bir yasal dayanağa sahip olacaklardır.

Kurum’un kararlarına yasal yollardan itiraz edilmesi

KVKK’nın mevcut düzenlemeleri Kurum’un kararlarına itiraz edilmesi için yetkili mahkemeyi belirleyen herhangi bir hüküm içermemektedir. Türkiye’deki yargılama prosedürünün genel kuralları uyarınca KVKK’nın ihlali sebebiyle bir veri sorumlusuna idari para cezası veren bir Kurum kararına, farklı açılardan ve farklı prosedürlere tabi olsa da, ceza mahkemesi ve idare mahkemesi nezdinde eş zamanlı olarak itiraz edilebilmektedir.

Tasarı söz konusu yetersiz durumu düzenlemeyi amaçlamakta olup Kurum tarafından verilen idari para cezalarına idare mahkemesinde itiraz edilmesi gerektiğini açıkça ortaya koymaktadır. Geçiş dönemi kapsamında, 1 Haziran 2024 tarihi itibariyle ceza mahkemesinde görülmekte olan herhangi bir dava, bu mahkeme tarafından görülmeye devam edecektir.

Tasarı’nın Şubat ayının son haftasında TBMM’de görüşülmesi beklenmekte olup kesin zamanlama net olmamakla birlikte, 2024 yılının Şubat veya Mart ayı içerisinde nihai hale gelerek kabul edilmesi beklenmektedir. Tasarı’nın teklif edildiği şekliyle kabul edilmesi halinde KVKK’yı değiştiren hükümleri, sınırlı geçiş sürelerine tabi olarak, 1 Haziran 2024 tarihi itibariyle yürürlüğe girecektir.