Özel Nitelikli Verilerin İşlenmesi ve Kişisel Verilerin Yurt Dışına Aktarımına İlişkin KVKK’da Gerçekleştirilen Düzenlemeler Neler Getiriyor?

Uygulamada görülen aksaklıkların giderilmesi için üzerinde uzun süredir çalışma gerçekleştirilen 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) 12.03.2024 tarihli Resmi Gazete’de yayımlanan 7499 sayılı Ceza Muhakemesi Kanunu İle Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“Düzenleme”) ile bir dizi önemli değişiklik gerçekleştirilmiştir.

Hatırlanacağı üzere Düzenleme’ye ilişkin çalışmaların başladığını resmi olarak 18.07.2019 tarihinde Türkiye Büyük Millet Meclisi tarafından onaylanan, Cumhurbaşkanlığı Strateji ve Bütçe Başkanlığı tarafından 2019–2023 yıllarına ilişkin hazırlana On Birinci Kalkınma Planı’nda (“KalkınmaPlanı”) yer verilmişti.

Kalkınma Planı’nda teknolojinin getirdiği yenilikler ve uluslararası platformlarda benimsenen yeni yaklaşımlar doğrultusunda 6698 sayılı Kişisel Verilerin Korunması Kanunu Avrupa Birliği Genel Veri Koruma Tüzüğü dikkate alınarak güncelleneceği, bu alanda teknolojik gelişme teşvik edileceğine yer verilmiştir.

2016 yılında yürürlüğe giren ve 2018 yılına kadar geçiş süreci tanıyan Kanun’da 2019 yılında değişikliğe gidilmesi ihtiyacı neden doğmuştu?

Kanun düzenlenirken esas alınan Avrupa Birliği’nin 1995 tarihli 95/46 sayılı Direktif’inde, 2016 yılında köklü bir değişikliğe gidilmiş ve Avrupa Veri Koruma Tüzüğü (“GDPR”) düzenlenmiştir. Kanun koyucu’nun bu tercihi, Avrupa Birliği çalışmalarına hız vermek ve/veya uygulaması bulunan bir mevzuatın uygulaması bakımından bilinmezler içeren mevzuata nazaran daha güvenli olması nedenleriyle bağdaştırılmıştır.

1. Özel Nitelikli Verilerin İşlenmesi

Bilindiği üzere Kanun’un altıncı maddesinde ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veri olarak kabul edilmektedir.

Düzenleme ile yukarıda paylaşmış olduğumuz sınırlı sayıdaki özel nitelikli kişisel verilerin işlenmesi için aranan şartlarda değişikliğe gidilmiştir.

Düzenleme öncesi ana kural, özel nitelikli kişisel verilerin işlenmesi için açık rıza alınmasıydı. Bunun istisnası olarak;

  • sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler için kanunlarda ön görülme şartı,
  • sağlık ve cinsel hayata ilişkin özel nitelikkli kişisel verilerin ise sınırlı bir amaçla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmesi ön görülmüştü.

Düzenleme ile sağlık ve cinsel hayat kişisel verilerine ilişkin ayrım ortadan kaldırılmış tüm özel nitelikli kişisel verilerin;

· Açık Rıza:

İlgili kişinin açık rızasının alınması. Düzenleme öncesi ana kural olan açık rıza, işleme şartlarından biri olarak düzenlenmiştir.

· Kanunlarda Açıkça Öngörülmesi:

Örnek: Veri sorumlusu işverenin, 6331 sayılı Kanun kapsamında tutmakla yükümlü olduğu çalışanlarına ait iş kazaları ve meslek hastalıkları kayıtları içerisinde yer alan sağlık verilerini işlemesi

· Fiili İmkânsızlık:

Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

Örnek: Bilinç kaybı nedeniyle rızasını açıklayamayacak durumdaki ilgili kişinin hayatının veya beden bütünlüğünün korunması amacı özelinde kan grubu ve hastalık geçmişi vb. kişisel verilerinin işlenmesi

· Alenileştirme:

İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

· Hakkın tesisi, kullanılması veya korunması:

için zorunlu olması,

Örnek: İş ilişkisinin sona ermesi tarihinden itibaren olası hukuki uyuşmazlıklarda kullanılabilmesi bakımından veri sorumlusu işverenin iş ilişkisi sona eren ilgili kişi (eski çalışan) ait özel nitelikli kişisel verilerini dava zaman aşımı boyunca (dava açılmaması halinde) saklamaya devam etmesi

· Kamu Sağlığının Korunması, Koruyucu Hekimlik, Tıbbi Teşhis, Tedavi ve Bakım:

Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

· İstihdam, İş Sağlığı ve Güvenliği, Sosyal Güvenlik, Sosyal Hizmetler ve Sosyal Yardım:

alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

Örnek: İş Kanunu madde 30 gereği engelli veya hükümlü çalıştırma yükümlülüğü olan veri sorumlusu işverenlerin, hukuki yükümlülüklerini yerine getirilebilmesi bakımından ilgili kişi çalışanlarının sağlık verilerini ve/veya ceza mahkûmiyetine ilişkin verilerini işlemesi

Veri sorumlusu işverenin, ilgili kişi çalışanın kişisel sağlık dosyasındaki özel nitelikli verilerini işlemesi

Veri sorumlusu yeni işverenin, ilgili kişi çalışanın eski işyerindeki kişisel sağlık dosyasındaki özel nitelikli kişisel verilerini işlemesi

· Dernek ve Vakıflar:

Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

Örnek: Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan ilgili kişilere ilgili süreçlerine ilişkin özel nitelikli kişisel verilerinin işlenmesi

hallerinde işlenebileceğine yer verilmiştir. Diğer bir deyişle açık rıza ana kural olmaktan çıkarılmış işleme şartları arasında düzenlenmiştir.

Düzenlemenin özellikle işverenler açısından, 6331 sayılı Kanun ve ikincil düzenlemeleri gereği işlenmesi gereken sağlık verilerinin mevzuatta açıkça ön görülmesi halinde dahi işlenmesi sorununu ortadan kaldırdığı söylenebilecektir.

Ülkemizde şirketler tarafından genel bir uygulama haline getirilmiş adli sicil kaydı verilerinin, İş Kanunu’nun 30. maddesinde yer alan hususlar haricinde halen açık rıza ile işlenebileceği kanaatinde olduğumuzu not etmek isteriz.

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından kimlik verilerinde olduğu gibi adli sicil kaydı verileri için veya İngiltere Veri Koruma Otoritesi tarafından çalışmaları devam eden işverenler tarafından çalışanların verilerinin işlenmesine ilişkin bir rehber çalışmasının farkındalık açısından çok faydalı olacağı kanaatindeyiz.

2. Kişisel Verilerin Yurt Dışına Aktarımı

Teknolojinin gelişmesi ile şirketlerin kayıtlarını dijital ortamlara aktarması ve/veya müşterileri ile bu ortamlar üzerinden temas kurması kaçınılmaz hale gelmiştir. Bu durum kişisel verilerin bulut ortamında veya güvenlik anlamında ciddi yatırımları olan üçüncü parti global şirketlerin sunucularının kullanılmasını beraberinde getirmiştir.

Hatırlanacağı üzere Kanun’daki diğer yurt dışı aktarım seçeneklerinden güvenli ülke, listenin Kurul tarafından yayımlan(a)maması, global şirketler ile taahhütname alınamaması ve alınan taahhütnamelerin bir kısmının onaylanması sebebiyle kişisel verilerin yurt dışı aktarımının yalnızca Kanun’un 9. maddesinin birinci fıkrası kapsamında açık rıza ile yapılabildiği değerlendirmesi yapılabilecektir.

Şirketlerin güvenlik, maliyet ve zaman zaman alternatifsizlik nedeniyle tercih ettiği yurt dışı kaynaklı ürün ve hizmet kullanımı;

  • Kurul tarafından yurt dışı aktarımı olarak değerlendirilmesi,
  • açık rızanın bir hizmetin şartı olarak sunulmaması ve/veya çalışan işveren arasındaki açık rıza süreçlerine ilişkin karinenin açık rıza iradesinin sağlıklı olmadığı yönünde değerlendirilmesi
  • yurt dışı aktarım için neredeyse yalnızca Kanun’un 9. maddesinin birinci fıkrası kapsamında açık rıza alınmasının tek seçenek olarak kalması,

büyük sorunlara sebebiyet vermekteydi.

Hatırlanacağı üzere Kanun’daki diğer yurt dışı aktarım seçeneklerinden güvenli ülke, listenin Kurul tarafından yayımlan(a)maması, global şirketler ile taahhütname alınamaması ve alınan taahhütnamelerin bir kısmının onaylanması sebebiyle kişisel verilerin yurt dışı aktarımının yalnızca Kanun’un 9. maddesinin birinci fıkrası kapsamında açık rıza ile yapılabildiği değerlendirmesi yapılabilecektir.

Düzenleme gerekçesinde yer verilen;

“Ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği”

tespitleri çok değerli olup, bu tespitler neticesinde GDPR ile uyumluluk hedefine de hizmet etmektedir.

Düzenleme ile kişisel verilerin ve özel nitelikli kişisel verilerin yurt dışına aktarımı için Yeterlilik Kararı, Uygun Güvencelerin Bulunması (aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması), İstisnai Haller ön görülmüştür.

Kanun Koyucu, kişisel verilerin, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlar için istisnai bir hal ön görmüş ve böyle bir durumda ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak ve Kurul’un izniyle yurt dışına aktarılabileceğini düzenlemiştir.

Kanun’un 9. maddesinin uygulanmasına ilişkin usul ve esasların ayrı bir yönetmelik ile düzenleneceğine yer verildiğini not etmek isteriz.

Yeterlilik Kararının Bulunması

Yeterlilik Kararı kapsamında yurt dışına veri aktarımı yapılabilmesi için;

  • kişisel veriler bakımından Kanun’un beşinci maddesinde, özel nitelikli kişisel veriler için Kanun’un altıncı maddesinde yer alan işlenme şartlarından birinin varlığı
  • aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması

şartlarının birlikte sağlanması gerekmektedir.

Düzenleme öncesi mevcut Kanun maddesinden ayrışılarak aktarım yapılacak ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilebileceği düzenlenmiştir. İlgili Düzenleme “Ülkemizdeki otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü bakımından yeterlilik kararı verilmesi mümkün hale gelmektedir” ön görüsüyle gerekçelendirilmiştir.

Yeterlilik kararının Kurul tarafından en geç 4 yılda bir değerlendirileceği düzenlenmiştir.

Uygun Güvencelerin Bulunması

Yeterlilik Kararının bulunmadığı hallerde yurt dışına veri aktarım yasaklanmamış, bunun yerine aktarım için;

  • kişisel veriler bakımından Kanun’un beşinci maddesinde, özel nitelikli kişisel veriler için Kanun’un altıncı maddesinde yer alan işlenme şartlarından birinin varlığı
  • ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması

halleriyle birlikte aşağıdaki şartlardan birinin karşılanmasının yeterli olacağı düzenlenmiştir.

a) Kamu Kurum ve Kuruluşları veya Uluslararası Kuruluşlar Ile Türkiye’deki Kamu Kurum ve Kuruluşları veya Kamu Kurumu Niteliğindeki Meslek Kuruluşları Arasında Yapılan Anlaşma.

Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi gerekmektedir.

b) Bağlayıcı Şirket Kuralları

Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.

c) Standart Sözleşme

Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.

Standart sözleşmenin imzalanma tarihinden itibaren 5 iş günü içerisinde sözleşmenin taraflarından biri kanalıyla Kurum’a bildirilmesi gerektiğini, aksi halde 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası ile karşılaşılabileceğini not etmek isteriz.

İdari para cezasının muhatabı veri sorumlusu veya veri işleyen olabilecektir.

d) Yazılı Taahhütname

Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesigerekmektedir.

İstisnai Haller

Kanun Koyucu tarafından Yeterlilik Kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması hallerinde arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabileceği düzenlenmiştir.

· İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. *

· Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.*

· Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. *

· Aktarımın üstün bir kamu yararı için zorunlu olması.

· Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.

· Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.

· Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

* kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetlerinde uygulanmayacağı düzenlenmiştir.

3. Kurul Kararlarına Karşı Başvuru Yolları

Kurul tarafından verilen idari para cezalarına karşı sulh hukuk mahkemeleri yerine idare mahkemelerinde dava açılacağı düzenlenmiş ve bu kanun yolu değişikliği için de bir geçiş süreci ön görülmüştür.

01.06.2024 tarihi itibariyle sulh ceza hakimlikleri nezdinde görülmekte olan itirazların, bu hakimliklerce görülmeye devam edileceği düzenlenmiştir.

4. Geçiş Süreci (Geçici Madde 3)

Düzenlemelerin yürürlüğe alınması için bir geçiş süreci kurgulanmış olup;

· Düzenlemelerin 01.06.2024 tarihinde yürürlüğe gireceği,

· Kişisel verilerin yurt dışına aktarılmasının şartının açık rıza olarak kabul edildiği Kanun’un dokuzuncu maddesinin birinci fıkrasının, değişitirilen haliyle birlikte 01.09.2024 tarihine kadar uygulanmaya edeceği

düzenlenmiştir.

5. Sıkça Sorulan Sorular

5.1. Şirketlerin yurt dışı sunucu ve/veya SaaS kullanılmarına ilişkin uygulamadaki sorunlar kalktı mı?

Düzenlemenin mevcut hali doğrudan kişisel verilerin yurt dışına aktarılmasına izin vermemektedir. Bu hususta bir değerlendirme yapabilmek için Kurul tarafından aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararının verilmesi gerekmektedir. Ayrıca bu hususta düzenlenecek ikincil düzenlemelerin beklenmesi gerekebileceği görüşündeyiz.

Kanun Koyucu’nun Düzenleme gerekçesinde yer verdiği “Ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği” tespiti bu hususta büyük önem taşımakta olup, Düzenleme öncesinde güvenli ülke listesi gibi çözümsüz kalmayacağı görüşündeyiz.

Kanun’un üçüncü maddesindeki Geçiş Hükmün’de değişikliğe gidilmemesi halide 01.09.2024 tarihine kadar sürecin daha belirginleşeceği görüşünde olduğumuzu paylaşmak isteriz.

5.2. İşveren tarafından adli sicil kaydı açık rıza olmadan işlenebilecek mi?

İş Kanunu madde 30 çerçevesinde hükümlü çalıştırma yükümlülüğü olan veri sorumlusu şirketlerin hükümlü çalışanlarına ilişkin adli sicil kaydını istisnai haller kapsamında açık rıza olmaksızın işlenebileceği görüşünde olduğumuzu not etmek isteriz.

5.3. Paypal Holding Inc.’nin (“Paypal”) Türkiye’den ayrılma sebebi ortadan kalktı mı?

Paypal Inc., Türkiye ve bir çok ülkedeki yasal düzenlemelere göre ödeme ve elektronik para hizmeti tanımına giren hizmetler sunmaktadır.

PayPal veya herhangi bir üçüncü kişinin Türkiye’de ödeme hizmeti sunabilmesi için Türkiye Cumhuriyet Merkez Bankası’ndan, 2013 yılında yürürlüğe giren Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun (“6493”) çerçevesinde faaliyet izni alması veya faliyet izni olan bir ödeme hizmet sağlayıcısı ile iş birliği gerçekleştirmesi gerekmektedir.

PayPal’ın iddia edildiği gibi kişisel verilerin yurt dışına aktarımı nedeniyle Türkiye’de faaliyet göstermeme ticari kararı aldığı kabul edilse dahi, 6493 ve ikincil düzenlemeleri kapsamında faaliyet gösterecek ödeme hizmet sağlayıcılarının birincil ve ikincil sistemlerini Türkiye içerisinde bulundurma zorunluluğu ortadan kalkmadığı için mevcut kararını değiştirecek bir gelişmenin meydana geldiği kabul edilemeyecektir.

5.4. Şirketler için sıfırdan uyum gerekecek mi? Yapılması gerekenler neler?

Bu soru için net ve her bir şirketi kapsayan standart bir yanıt verilmesi zor olsa da özel nitelikli verilere ilişkin kurguların Düzenlemeler kapsamında ele alınması, veri envanteri ve aydınlatma metinlerine yansıtılması gerektiği değerlendirilmesinde bulunulabilir.

Yurt dışı aktarım süreçlerine ilişkin aksiyon planı için Kurul tarafından aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararının verilmesinin beklenmesi gerektiği görüşündeyiz. Yeterlilik kararının verilmemesi veya yeterlilik kararı olmayan aktarım süreçlerine ilişkin ise Kurul tarafından çıkarılacağı belirtilen ikincil düzenlemelerin beklenmesi gerektiği görüşündeyiz.

6. Değerlendirme

Düzenlemeler, Kanun’un gerekçesindeki kıymetli tespitlerle birlikte ele alındığında Kanun’un yürürlüğe girdiği tarihten bu yana özellikle yurt dışına kişisel veri aktarımı ve özel nitelikli kişisel verilerin işlenmesi bakımından yaşanan sorunlara büyük olumlu etkisi olacağı kanaatindeyiz.

Şirketlerin, Düzenlemeler çerçevesinde özel nitelikli veri işleme ve yurt dışına veri aktarım süreçlerine ilişkin analiz çalışmalarına başlamalarının, bu çalışmalar neticesinde tespit edilen bulgulara yönelik güncellemelerin yapılması için hazırlıklara başlanmasını öneririz.