Yazarlar: Av. Ceren MUTLU, Av. Muhammed KÜÇÜK
Kişisel veri kavramının ortaya çıkışı neticesinde ülkemizde de kişisel verilerin kanunlaşmasına yönelik birçok düzenleme yapılmış olmakla birlikte 7 Nisan 2016 tarihinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu yürürlüğe girmiştir. Bu kanun ise Avrupa ülkelerinin kullanmış olduğu Avrupa Birliği Veri Koruma Direktifi esas alınarak hazırlanmıştır. Teknolojinin gelişmesi ve kişisel verilerin günlük hayatta çok daha etkin olması sebebiyle Avrupa’da 2018 yılında Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (GDPR) kullanılmaya başlaması ile ülkemizde de bu tüzüğe uyumlu bir veri koruma sistemi düzenlenmesi gerektiği ihtiyacı doğmuştur.
Bu ihtiyaçlar doğrultusunda 6698 sayılı Kişisel Verilerin Korunması Kanunundaki önemli bazı maddelerin değiştirilmesi gündeme gelmiştir. Böylece gerekli çalışmalar tamamlanarak ilgili değişiklikler 12 Mart 2024 tarihli Resmi Gazete’de yayımlanmış, 1 Haziran 2024 tarihinde ise yürürlüğe girmiştir.
Yapılan değişiklikler incelendiğinde 3 temel değişiklik yapıldığı görülmektedir. Bunlar;
- Özel nitelikli kişisel verilerin işlenme şartlarının genişletilmesi ve kişisel veri işleme şartları ile uyumlu hale getirilmesi,
- Kişisel verilerin yurt dışına aktarılması hususunda yapılan değişiklikler
- Kabahatlere ilişkin çeşitli düzenlemelerden oluşmaktadır.
1. Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına Yönelik Yapılan Değişiklikler
Özel nitelikli kişisel veriler ve işlenme şartları, KVKK’nın 6. Maddesinde düzenlenmekte olup “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.” şeklinde tanımlanmıştır.
Bu madde, KVKK yürürlüğe girdiği dönemde özel nitelikli kişisel verilerin işlenme şartlarını oldukça sınırlı tutmuştur. Bunun sebebi ise özel nitelikli kişisel verilerin yapısı gereği hassas veriler olduğu ve herhangi bir veri ihlali yaşanması durumunda kişilerin bu durumdan çok daha fazla etkileneceği düşüncesine dayanmaktadır. Bu durum uzun yıllar bu şekilde devam etse de uygulamada sıklıkla sorunlar yaşanmaktaydı. Bu sebeple, özel nitelikli kişisel verilerin işlenme şartlarının genişletilerek uygulamada yaşanan sorunlara bir çözüm bulunması gerekliliği ile önemli bir değişiklik yapılmıştır.
Böylece özel nitelikli kişisel veriler altındaki sağlık ve cinsel hayata ilişkin veri ve diğer özel nitelikli kişisel veri arasındaki ayrım kaldırılmış olup özel nitelikli kişisel verilerin işlenmesinin yasak olduğuna dair hüküm muhafaza edilerek;
- İlgili kişinin açık rızasının olması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması
şeklinde açıkça yeni hükümler eklenmiştir. Yapılan yeni değişiklikler ile uygulamada kolaylık sağlanması hedeflenmiştir.
Maddede özel nitelikli kişisel verinin işlenmesinin yasak olduğu belirtilerek verilerin yapısı gereği hassas olduğu ve korunması gerektiği düşüncesi sabit kalmıştır. Ayrıca bu değişiklikler yapılırken 5. Maddede yer alan kişisel verilerin işlenme şartları ile özel nitelikli kişisel verilerin hukuki işleme sebepleriyle uyum gözetilmiştir. Genel bir yaklaşımla hem özel nitelikli olan hem de olmayan kişisel verilerin benzer hukuki işleme sebeplerine dayalı olarak işlenmesi hedeflenmiştir.
Uygulamada en çok sorun yaşanan durumlardan biri ise e, f ve g bentlerinde yer alan durumlar idi. Bu durumlarda örneğin doktorların kendisine karşı açılan malpraktis davalarında savunma yapabilmek için kullanması gereken deliller özel nitelikli kişisel veriler kapsamında olan sağlık verileri niteliğinde olduğundan mahkemeye o delillerin sunulması hukuka aykırı sayılmaktaydı ya da 4857 sayılı İş Kanunu ile işverenlere engelli veya hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından kişilerin sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işlenmesi gibi durumlar eski düzenlemede hukuka aykırı sayılmaktaydı fakat yapılan bu değişiklikler neticesinde uygulamada hakkaniyetli bir çözüm sağlanmıştır.
İstihdam, iş sağlığı ve güvenliği, iş ve sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için özel nitelikli kişisel verilerin işlenmesinin zorunlu olmasının yeni bir hukuki işleme sebebi olarak belirlenmesi bu reform sürecinin en büyük kazanımıdır. Böylece farklı mevzuatlarla KVKK arasındaki uyum seviyesi güncellenmiştir.
2. Kişisel Verilerin Yurt Dışına Aktarılması Hususunda Yapılan Değişiklikler
Bu husus 6698 sayılı KVKK’nın 9.maddesinde düzenlenmiştir. Maddenin mevcut birinci fıkrasına göre kişisel verilerin ilgili kişinin açık rızasıyla yurt dışına aktarılabileceği belirtilmiştir. Maddenin ikinci fıkrasına göre, ilgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılabilmesi için KVKK’nın 5. Maddesinin (kişisel verilerin işlenme şartlarını içerir madde) ikinci fıkrası ile 6. Maddesinin (özel nitelikli kişisel verilerin işlenme şartlarını içerir madde) üçüncü fıkrasında belirtilen şartlardan birinin bulunması ve KVK Kurulu tarafından kişisel verilerin aktarılacağı ülke bakımından yeterli korumanın bulunduğuna karar verilmiş olması (yeterlilik kararı) gerekmekteydi. Bununla birlikte hakkında yeterli korumayı sağladığı yönünde karar bulunmayan ülkelere ilgili kişinin açık rızası aranmaksızın kişisel verilerin aktarılması, veri işleme şartlarından birinin bulunması şartıyla sadece Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izin vermesi durumunda mümkün olmaktaydı.
Verilerin yurt dışına aktarılması için getirilen açık rıza ve taahhütle sınırlandırma hususu sonucu uygulamada tıkanıklıklar mevcuttu. Yeterlilik kararı açısından bakacak olursak, ne Türkiye’nin verdiği bir yeterlilik kararı vardır ne de başka ülkelerin Türkiye için yeterlilik kararı verdiği görülmektedir, böylece sistemsel sorunlar yaşanmaktaydı.
Böylece maddenin uygulanışı yalnızca ilgili kişilerin tek tek açık rızasının alınması dışında sadece Türkiye’deki ve ilgili ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve KVK Kurulu’nun izin vermesiyle yapılabilmektedir ancak KVK Kurulunun vermiş olduğu izin sayısı da çok azdır. Bu durumdan özellikle şirketler ticari olarak çok etkilenmiştir çünkü Türkiye’den yurt dışına veri aktarımı yapabilmek çok zor bir hal almakta, şirketlerin faaliyetlerini yürütmesi sekteye uğramaktaydı. Yurtdışındaki yatırımcılar ise bu durumdan dolayı ülkemize yatırım yapmak istememekteydi.
Bu ihtiyaçlar neticesinde bazı düzenlemeler geliştirilerek uygulamadaki sorunlar GDPR ile uyumlanarak giderilmeye çalışılmıştır. Yapılan değişiklikler ile aslında 9.madde komple değiştirilmiştir.
Yeni düzenlemeye göre; Kanun’un 5’inci ve 6’ncı maddelerinde yer alan işleme şartlarından birinin varlığı halinde, ilk olarak “yeterlilik kararı”nın bulunup bulunmadığına bakılmalıdır. Yeterlilik kararı bir ülke hakkında verilebileceği gibi, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında da verilebilecektir. Yeterlilik kararının bulunmaması durumunda ise ikinci adım olarak; yine Kanun’un 5’inci ve 6’ncı maddelerinde yer alan işleme şartlarından birinin varlığı olmak kaydıyla, Kanun’da düzenlenmiş olan uygun güvencelerden birinin sağlanması şartı aranmalıdır. Uygun güvencelerin ne olduğuna değinmek gerekirse; bunları kısaca standart sözleşme, bağlayıcı şirket kuralları, uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve taahhütname şeklinde sayabiliriz.
Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda, Kanun’da belirtilen istisnai aktarım hallerinden birinin varlığı aranmalıdır. İstisnai aktarım hallerinden biri varsa, arızi olmak kaydıyla yani bir veya birkaç defaya mahsus olmak üzere yurt dışına kişisel veri aktarılabilecektir. Bir diğer önemli değişiklik ise yurt dışına aktarımın veri sorumluları veya veri işleyenler tarafından gerçekleştirilebileceği hususudur. Yeni düzenlemeyle veri işleyene de yurt dışına aktarım yapabilme imkanı getirilmiştir. Öte yandan yurt dışına veri aktarımını düzenleyen 9’uncu maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği hükme bağlandı ve bu kapsamda Kurul tarafından “Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik” hazırlandı. Söz konusu Yönetmelik, 10 Temmuz 2024 tarihinde Resmi Gazete’de yayımlandı.
Böylece uygulamada yaşanan tıkanıklıkların önünü açabilmek ve yurt dışına veri aktarımının GDPR ile uyumlu hale gelebilmesi için önemli değişiklikler yapıldığı görülmektedir.
3. Kabahatler Konusunda Yapılan Değişiklikler
Kabahatlere ilişkin olarak 2 önemli değişiklik yapıldığı görülmektedir. Bunlardan ilki idari para cezalarına ilişkin olarak görevli mahkemenin idare mahkemesi olarak belirlenmesi, diğeri ise veri işleyenlerin de sorumluluğu belirtilerek haklarında idari yaptırım düzenlenebileceği hususlarıdır. Buna göre, Kişisel verilerin korunmasına ilişkin kabahatleri düzenleyen maddede yapılan değişiklikle, Kurul tarafından verilen idari para cezalarına karşı artık idare mahkemelerinde dava açılabilecektir. Bu nedenle, idari para cezalarına karşı Sulh Ceza Hakimliklerine başvuru yolu kaldırılmıştır. Geçici maddenin ilgili hükmü uyarınca, 1 Haziran 2024 tarihi itibarıyla Sulh Ceza Hakimliklerinde görülmekte olan başvurular yine bu hakimliklerce görülmeye devam edecektir.
Ayrıca yine aynı kanunun kabahatleri düzenleyen 18’inci maddesine yapılan ekleme ile yurt dışına veri aktarımı için hazırlanan standart sözleşmenin imzalanmasından itibaren beş iş günü içerisinde Kuruma bildirilmemesi halinde, veri sorumlusunun yanı sıra veri işleyen hakkında da idari yaptırım uygulanabilecektir. Bu durumda eski düzenlemede veri işleyene ilişkin bir yaptırım düzenlenmemiş iken yeni değişiklikler ile veri işleyenin de sorumluluğu vurgulanmıştır.
Görüldüğü üzere, dönemin ihtiyaçları ve teknolojinin gelişmesi ile birlikte 2016 yılında yürürlüğe girmiş olan 6698 sayılı KVKK’nın günümüze ve uluslararası anlamda kabul edilen Avrupa Veri Koruma Tüzüğüne (GDPR) uyumlu hale getirilmesi hem ekonomik hem de hukuki olarak ülkemiz için çok önemli bir adım olmuştur.