7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) gün geçtikçe daha fazla gündeme gelmesinin nedenlerinden biri şüphesiz tüm dünyada olduğu gibi ülkemizde de kişisel veri konusundaki farkındalığın artmasıdır. Aynı zamanda Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından özellikle Veri Sorumluları Sicili’ne (“VERBİS”) kayıt yükümlülüğünü yerine getirmekte geciken şirketlere gönderilen Bilgi-Belge isteme yazısı ve devamındaki idari para cezası tutanaklarındaki son zamanlardaki artış, Kanun’a uyumun şirketler için ne kadar önemli olduğunu tekrar hatırlamamızı sağlamaktadır.

Bu yazımızda, Kanun’a ilişkin ilk kapsamlı değişikliği öngören ve halihazırda Türkiye Büyük Millet Meclisi (“TBMM”) genel kurulunda kabul edilerek 12 Mart 2024 Tarihli Resmi Gazete’de yayımlanıp yürürlüğe giren “7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun”un (“7499 Sayılı Kanun”) Kişisel Verilerin Korunması Kanunu’na ilişkin hangi değişiklikleri içerdiğini inceleyip açıklamaya çalışacağız.

Yürürlüğe girdiği 7 Nisan 2016 tarihinden itibaren yalnızca iki defa ve oldukça az sayıda değişiklik geçiren Kanun’un bu zamana kadar ilk halini neredeyse tamamen koruduğu söylenebilir. 12 Mart 2024 tarihinde ilk kez Kanun’da kapsamlı bir değişikliğe gidilmiştir.

Öncelikle söz konusu değişikliğin sürpriz olmadığını ve hukukçular tarafından bir süredir beklendiğini söyleyebiliriz. Nitekim bu değişiklikte beklendiği şekilde 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) göz önünde bulundurulduğunu ve Kanun ile GDPR arasındaki uyumun sağlanmaya çalışıldığını görüyoruz. Peki bu değişiklikler nelerdir?

7499 Sayılı Kanun özellikle, özel nitelikli kişisel verilerin işlenme şartları ile yurt dışına veri aktarımı hükümlerinde değişiklik yapmaktadır. Özel nitelikli kişisel veriler, mevcut durumda yalnızca ilgili kişinin (kişisel verisi işlenen gerçek kişinin) açık rızası bulunması veya kanunlarda öngörülmesi halinde işlenebilmektedir. Oysa bu sınırlı şartlar, özel nitelikli kişisel veri işlemesi gereken birçok sektör (bkz. sigortacılık, iş sağlığı ve güvenliği, vs.) bakımından yetersiz kalmaktadır. 12 Mart 2024 tarihli değişiklikle bu şartların sayısının arttırıldığını görüyoruz. Buna göre, aşağıda sayılan şartların herhangi birinin varlığı halinde özel nitelikli kişisel veriler hukuka uygun olarak işlenebilecektir:

1. İlgili kişinin açık rızasının olması,

2. Kanunlarda açıkça öngörülmesi,

3. Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

4. İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

7. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alan hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

8. Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Yurt dışına veri aktarımı için ise mevcut durumda Kanun, kural olarak ilgili kişinin açık rızasını aramaktadır. Açık rızanın bulunmadığı durumlarda veri aktarımı için iki yöntem düzenlenmiştir. Bunlar; i) verinin aktarılacağı ülkenin Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yeterli korumanın bulunduğu ülke (güvenli ülke) olarak ilan edilmiş olması veya ii) yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun veri aktarımına izin vermesidir.

Uygulamaya bakıldığında şimdiye kadar hiçbir ülke güvenli olarak ilan edilmemiş, Kurul’a sekseni aşkın taahhüt başvurusu yapılmış olmasına karşın bunların çok azına veri aktarımı için izin verilmiştir[1]. Dolayısıyla yurt dışına veri aktarımı için halihazırda sadece açık rıza şartının uygulanabilir olduğu söylenebilecektir.

Oysa günümüzde birçok gerçek ve tüzel kişi sunucuları yurt dışında bulunan veya bulut tabanlı yazılımlar kullanmaktadır ve sadece açık rıza şartına bağlanan yurt dışına veri aktarımı, kanuna uygun veri işlemeyi neredeyse imkansız hale getirmektedir.

Bu sorun ve ihtiyaçlar göz önünde bulundurularak 1 Haziran 2024 tarihinden itibaren yürürlüğe girmek üzere, 12 Mart 2024 tarihindeki değişiklikte verinin yurt dışına aktarılabileceği şartlar arttırılmıştır. Mevcut durumda Kurul, yalnızca ülke bazında yeterlilik kararı (güvenli ülke kararı) verebilirken 1 Haziran 2024 sonrasında bu kararların; ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında verilebilecek şekilde genişletildiğini görüyoruz. Dolayısıyla artık Kurul, güvenli görmediği bir ülkenin yalnızca bir sektörüne ilişkin güvenlidir kararı da verebilecektir.

12 Mart 2024 tarihli değişikliğe göre kişisel verinin yurt dışına aktarılabileceği durumlar şu şekilde özetlenebilir:

1. Kişisel veri işleme şartlarından biri varsa ve Kurul tarafından yeterlilik kararı verilmişse (ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında) kişisel veri yurt dışına aktarılabilir,

2. Kişisel işleme şartlarından biri varsa fakat Kurul tarafından yeterlilik kararı verilmemişse; aşağıdaki güvencelerden birinin taraflarca sağlanması halinde veri yurt dışına aktarılabilir (aktarımın yapılacağı ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkanı bulunması kaydıyla):

       a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.

       b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

       c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

       d) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

3. Kurul’un verdiği bir yeterlilik kararı bulunmuyorsa ve yukarıda sayılan güvencelerden herhangi biri de sağlanmamışsa, aşağıdaki hallerin birinin varlığında geçici olarak yurt dışına veri aktarılabilir:

       a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.

       b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.

       c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.

       d) Aktarımın üstün bir kamu yararı için zorunlu olması.

       e) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

       f) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

       g) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Böylece yurt dışına kişisel veri aktarımındaki açık rıza şartının, artık genel bir sebep olmaktan çıkarılıp istisna haline getirilmek istendiğini görüyoruz.

Kanun teklifi aynı zamanda yeni bir kabahat türünü de beraberinde getirmiştir. Buna göre, yurt dışına veri aktarım sürecinde bahsi geçen standart sözleşmenin, imzalandıktan sonra 5 gün içerisinde Kurum’a bildirilmesi gerekmektedir. Aksi halde 50.000 Türk lirasından 1.000.000 Türk Lirasına kadar idari para cezası uygulanacaktır. Ayrıca bu idari para cezası, diğer kabahatlerden farklı olarak yalnızca Veri Sorumlusu aleyhine değil, Veri İşleyen aleyhine de uygulanabilecektir.

Kanun teklifindeki son ve önemli diğer bir düzenleme ise, Kurul tarafından uygulanan idari para cezalarına karşı artık İdare Mahkemeleri’nde dava açılacak olmasıdır. Mevcut durumda, kabahat olarak nitelendirilmiş olması nedeniyle Kanun kapsamındaki idari para cezalarına karşı Sulh Ceza Mahkemesi’nde dava açılarak itiraz edilmektedir. Kanun teklifinin kabul edilmesi halinde, Kurul tarafından verilecek kararlara karşı artık İdare Mahkemesi’nde dava açılarak itiraz edilebilecektir. Söz konusu 12 Mart 2024 tarihli değişiklikler, 1 Haziran 2024 tarihinde yürürlüğe girecektir.

Kaynakça

[1] Türkiye Büyük Millet Meclisi, Kanun Teklifleri, (Çevirimiçi) https://cdn.tbmm.gov.tr/KKBSPublicFile/D28/Y2/T2/WebOnergeMetni/ 6e8b6477-2942-49d1-acf1-cfa13bcac252.pdf?TSPD_101_R0=08ffcef486ab2000e7d7a87ef9620ac2be3d- 252df2aa481e198301399b65f1e209cfeb16db201c47084912b10e- 143000ade6f6b3d8b814054750d6cb3574939215002ae5bb3513- 34061ea62d751070ef2fb2303859ec0bea1f25e9f83c511820, Madde 34 Gerekçesi, E.T. 24.02.2024.