16 Şubat 2024 tarihinde TBMM’ye sunulan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi ile 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK ve Kanun”) 6, 9 ve 18. maddelerinde değişiklik yapılması teklif edilmiştir. Teklif Esas Komisyon sıfatı ile Adalet Komisyonuna, Tali Komisyon sıfatı ile Anayasa Komisyonu ve Plan ve Bütçe Komisyonuna gönderilmiş, kanun teklifi üzerinde görüşmeler, Adalet Komisyonu’nda 20 Şubat 2024’de başlayarak 21 Şubat 2024 tarihinde tamamlanmıştır. Adalet komisyonunda esasa ilişkin değişiklik yapılmayarak TBMM Genel Kurulu’na gönderilen Teklif üzerinde görüşmeler 28 Şubat 2024 tarihinde başlanmıştır. 1 Mart 2024 tarihli Genel Kurulda görüşmeler tamamlanarak teklif gece yarısından sonra kabul edilmiştir. 7499 sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un kabul tarihi 02 Mart 2024 iken Kanun’un yürürlük hükümleri uyarınca Kanun’da değişiklik yapan hükümler 01 Haziran 2024 tarihinde yürürlüğe girecektir. 7499 sayılı Kanun’un Resmî Gazete’de yayımlanması beklenmektedir.
A. Özel Nitelikli Kişisel Verilerin İşlenmesi (KVKK m. 6)
Tüzüğün (General Data Protection Regulation) aksine Kanun’da yer alan özel nitelikli kişisel veriler altında öngörülen sağlık ve cinsel hayata ilişkin veriler ile diğer özel nitelikli kişisel veriler ayrımının kaldırılması ve sağlık verileri de dahil olmak üzere özel nitelikli kişisel verilerin işlenmesinde hukuka uygunluk sebeplerinin artırılması uygulamada özellikle iş hukuku bağlamında yaşanan pek çok soruna çözüm getirmiştir. Buna göre:
-
KVKK m. 5/1’de ilgili kişinin açık rızası hukuka uygunluk sebebi düzenlendiğinden Kurumun ve Kurulun konuya ilişkin yaklaşımı özel nitelikli kişisel veriler için de dikkate alınabilecektir.
-
Kanunlarda açıkça öngörülme hukuka uygunluk sebebi KVKK m. 5/2/a’da alelade kişisel veriler için düzenlenmiştir. Kurumun “Kanunlarda Öngörülme Kişisel Veri İşleme Şartına İlişkin Bilgi Notu”nun da göz önünde bulundurulması bu hukuka uygunluk sebebinin kapsam ve içeriğinin anlaşılması bakımından yararlı olacaktır[1].
-
KVKK m. 5/2/b’de yer alan “Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması” hukuka uygunluk sebebi, özel nitelikli veriler bakımından da KVKK m. 6/2/c’de öngörülmüştür. Bu hukuka uygunluk sebebine Kanunu’nda yalnızca alelade veriler için değil özel nitelikli veriler için de yer verilmesi gerektiği kanaatimizi daha önce de açıklamıştık[2]. Nitekim 6698 sayılı Kanun’un gerekçesinde de kan grubu, geçirilen hastalıklar ve ameliyatlar, kullanılan ilaçlar gibi verilerin bu hukuka uygunluk sebebi kapsamında işlenebileceği ifade edilmiştir. Yapılan değişiklikle ilgili kişinin örneğin kan grubu gibi bir sağlık verisinin işlenmesine, bilinci kapalı olduğu için açık rıza vermesi mümkün değilse bu verinin işlenmesi kendisinin ya da bir başkasının hayati menfaatleri için zorunlu ise bu hukuka uygunluk sebebine dayalı olarak verilerin işlenmesi mümkün hale gelmiştir.
-
KVKK m. 6/2/ç’de “ilgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması halinde” özel nitelikli kişisel verilerin işlenmesinin hukuka uygun olduğu düzenlenmiştir. Nitekim değişiklik gerekçesinde de yer verildiği üzere: “…bir kişinin acil durumlarda kullanılması için, herkesçe erişilebilir bir alanda paylaşmış olduğu kan grubu ve alerji bilgileri gibi kişisel verilerinin bu amaca uygun olarak işlenmesi ve kullanılması hukuka uygun olacaktır.” Bununla birlikte KVKK m. 5/2/d bendinde açıkça yer almasa da Kişisel Verileri Koruma Kurulunun 07/11/2019 tarihli ve 2019/331 sayılı karar özetinde de belirtildiği üzere kişisel verinin alenileştirme amacına uygun işlenmesi gerektiği görüşü, özel nitelikli veriler bakımından kanuni bir dayanak kazanmıştır.
-
KVKK m. 6/2/d’de: “Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması” özel nitelikli kişisel verilerin işlenmesi için de bir hukuka uygunluk sebebi olarak öngörülmüştür. KVKK m. 5/2/e hükmünde alelade veriler için düzenlenmiş olan bu hukuka uygunluk sebebi, özel nitelikli veriler bakımından da artık dikkate alınabilecektir. Bu hüküm, Türk hukukunda özel nitelikli kişisel verilerin bir hakkın tesisi, kurulması veya korunması için işlenmesi zorunluluğu bakımından uygulamada ortaya çıkan sorunlara çözüm getiren bir hüküm olarak nitelendirilebilecektir. Örneğin bir doktorun kendisine karşı açılan malpraktis davasında kendisini savunabilmesi için delilleri mahkemeye sunması ya da zamanaşımı süresi içinde ilgili belge ve kayıtları saklaması gereklidir. Ancak değişiklik öncesi Kanun’da özel nitelikli veriler bakımından böyle bir hukuka uygunluk sebebi düzenlenmediğinden; bu gibi hâllerde veri işlemenin hukuka aykırı olduğu sonucuna varmak gerekmekteydi. Bu hükümle söz konusu sorun bertaraf edilmiştir.
-
KVKK m. 6/2/e bendinde özel nitelikli kişisel verilerin: “Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması” halinde işlenebileceği düzenlenmiştir. Bu bent kapsamında işleme konusu edilecek özel nitelikli veri kategorisinin daha ziyade kişilerin sağlık verileri olacağına dikkat çekmek isteriz.
-
KVKK m. 5/2-ç’de alelade kişisel verilerin işlenmesine dair öngörülmüş “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” veri işleme şartına yer verilmemiş; “İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması” hukuka uygunluk sebebi düzenlenmiştir. Yani veri sorumlusunun hukuki yükümlülüğünün yerine getirebilmesi için zorunlu olması hukuka uygunluk sebebi özel nitelikli veriler için daha sınırlı bir alanda uygulanacaktır. Bu kapsamda Örneğin Karayolu Taşıma Yönetmeliği[3] m. 34/1/d ve e bentleri uyarınca Yönetmelik kapsamındaki taşıtları kullanacak şoförlerin[4]: “d) Uyuşturucu, silah, insan ve gümrük kaçakçılığı ile terör suçlarından dolayı hürriyeti bağlayıcı ceza almamış olmaları, e) Şoförlük mesleği bakımından bedeni ve psiko-teknik açıdan sağlıklı olduklarını gösteren bir sağlık raporunu, yetkili sağlık kuruluşlarından her beş yılda bir almaları şarttır.” Dolayısıyla Yönetmelik kapsamındaki taşıtları kullanacak şoförlerin ceza mahkumiyeti ve sağlık verileri, istihdam ilişkisi kapsamında bu hukuka uygunluk sebebine dayanılarak işlenebilecektir. Buna ek olarak değişiklik gerekçesinde de bu hukuka uygunluk sebebine ilişkin örneklere yer verilmiştir. Buna göre:
“Örneğin; 4857 sayılı İş Kanunuyla işverenlere verilen engelli veya hükümlü çalıştırma yükümlülüğünün yerine getirilebilmesi bakımından kişilerin sağlık verilerinin veya ceza mahkûmiyetine ilişkin verilerinin işverenlerce işlenmesi bu bent kapsamında değerlendirilecektir. Aynı şekilde, diyaliz hastalarına sunulan sağlık kuruluşuna taşıma hizmetinin yerine getirilebilmesi için kişinin sağlık raporunun işlenmesi de mümkün olacaktır.”
Gerekçeye bakıldığında İş Kanunu m. 30’da özel nitelikli kişisel veri işlenmesini gerektirir bir hukuki yükümlülük öngörüldüğü ifade edilmiştir. Bu noktada kanun koyucunun ilgili maddeyle kanunlarda açıkça öngörülmüş bir özel nitelikli veri işleme faaliyetinin düzenlenmediği kanaatinde olduğu düşünülmektedir. Bu sebeple de KVKK m. 6/2/f uyarınca engellilik ve mahkûmiyet verisinin işlenmesi örnek olarak verilmiştir. Nitekim engelli ve eski hükümlü çalıştırma yükümlülüğüne ilişkin ikincil mevzuat düzenlemeleri de mevcuttur. Bununla birlikte esasında İş Kanunu m. 30/3’de: “İşverenler çalıştırmakla yükümlü oldukları işçileri Türkiye İş Kurumu aracılığı ile sağlarlar. Bu kapsamda çalıştırılacak işçilerin nitelikleri, hangi işlerde çalıştırılabilecekleri, bunların işyerlerinde genel hükümler dışında bağlı olacakları özel çalışma ile mesleğe yöneltilmeleri, mesleki yönden işverence nasıl işe alınacakları, Aile ve Sosyal Politikalar Bakanlığının görüşü alınarak Çalışma ve Sosyal Güvenlik Bakanlığınca çıkarılacak yönetmelikle” düzenleneceği öngörülmüştür. İlgili ikincil düzenleme olan “Yurtiçinde İşe Yerleştirme Hizmetleri Hakkında Yönetmelik[5]” hükümleri ve yönetmeliğin dayanağı olan İş Kanunu m. 30 bir bütün olarak ele alındığında KVKK m. 6/2/b’de yer alan “kanunlarda açıkça öngörülme” hukuka uygunluk sebebine dayanılabileceği de düşünülebilir.
İstihdam ilişkinin kurulması aşamasında işçinin “çalışma yeterliliğini” değerlendirmek için hukuki yükümlülük nedeni ile verilerin işlenmesinin zorunlu olması halinde de bu kapsamında değerlendirme yapılması gerekmektedir. Bir hukuki yükümlülük nedeni ile engellilik oranı yahut psiko-teknik açıdan sağlık durumu gibi sağlık verilerinin işlenmesi zorunlu ise henüz çalışan adayı konumunda olan ilgili kişinin verilerinin istihdam ilişkisi kapsamında işlendiği kabul edilmelidir. İş Kanunu m. 30/4 uyarınca yer altı ve su altı işlerinde engelli işçi çalıştırılamayacağı hüküm altına alındığından, bu iş kolu için çalışan adayından sağlık raporunun iş akdi kurulmadan önce talep edilmesi bu duruma örnek olarak verilebilecektir.
Son olarak gerçekleştirilecek veri işleme faaliyeti, yetkili kişiler tarafından genel ilkeler (özellikle veri minimizasyonu) gözetilerek ve veri güvenliğinin sağlanması adına gerekli teknik ve idari tedbirler alınarak gerçekleştirilmelidir.
- KVKK m. 6/2/g bendi uyarınca: “Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması halinde” özel nitelikli verilerin işlenmesi mümkündür. Düzenlemenin gerekçesine bakıldığında ilgili hukuka uygunluk sebebinin kapsamının açıkladığı görülmektedir. Buna göre:
“…bu kuruluş ve oluşumlar, mevcut ve eski üyeleri ile bu kuruluş ve oluşumlarla düzenli olarak temas halinde olan kişilerin özel nitelikli verilerini, kuruluş amaçlarına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı ve üçüncü kişilere açıklanmamak kaydıyla işleyebileceklerdir. Örneğin; bu kuruluş ve oluşumların mevcut üyelerinin yanı sıra eski üyeleri ve düzenli olarak bağış yapmak suretiyle kendisiyle temas halinde olan kişilerin bu durumlarına ilişkin bilgiyi işlemesi bu bent kapsamında değerlendirilecektir. Aynı şekilde bir sendika, kendi faaliyet alanına ve amacına ilişkin olarak sadece sendika üyeliğiyle ilgili verileri işleyebilecektir. Buna karşın sendika üyelerinin sağlık veya dinine yönelik kişisel verileri, faaliyet alanıyla ve amacıyla ilgisi olmaması sebebiyle işlenemeyecektir.”[6]
B. Yurtdışına Aktarım (KVKK m. 9)
Veri sorumlularını kişisel verilerin yurtdışına aktarıldığı durumlarda büyük açmaza sokan “açık rızayı” önceleyen yaklaşımın terkedilmesiyle kişisel verisi aktarılan kişilerin de daha çok korunduğu bir yapı inşa edilmiştir. Bu kapsamda kişisel verilerin yurtdışına aktarımında veri sorumluları bakımından uyulması gereken kuralların çerçevesi netleştirilmiş ve kişisel verinin yurtdışına aktarımında bireylerin ve verinin güvenliğinin ön planda olduğu mekanizmalar Tüzük ile uyumlu bir şekilde tesis edilmiştir. Usul ve esasları yönetmelikle belirlenecek olsa da Kanun değişikliği ile nihayetinde kişisel verileri yurtdışına aktarmak isteyen veri sorumlularına uygulanabilir ve alternatifli bir yol haritası çizilmiştir.
Kanun’un kişisel verilerin yurtdışına aktarılması başlıklı 9. maddesinde yapılan değişiklikler kapsamında ilk fark edilecek husus maddenin önceki halinde salt “yurtdışına” aktarımdan bahsedilirken değişiklik ile Tüzük ile uyumlu olarak kuralların aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler yönünde uygulanacağı esası getirilmesidir. Yine maddenin eski hali yurtdışındaki veri işleyenlere yapılacak veri aktarımlarında taahhütnamelerin uygulama alanı bulup bulamayacağı konusunda netlik içermemekteydi[7]. Bu kapsamda yenilenen madde metninde:
-
Kuralların kişisel verileri yurtdışına aktaracak olan veri sorumlusu ve veri işleyen bakımından geçerli olduğu,
-
Yurtdışındaki alıcı tarafın veri sorumlusu ve veri işleyen olabileceği,
-
Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımlarının da aynı kurallara tabi olduğu
hususları açıklığa kavuşturulmuştur. Ayrıca maddenin birinci fıkrasında “veri sorumluları ve veri işleyenler tarafından yurt dışına” aktarılan kişisel verilere ilişkin kuralların ilgili hüküm ile düzenlendiği belirtildiğinden kanaatimizce yurtdışında yerleşik veri sorumlusunun ilgili kişiden doğrudan verileri sağladığı hallerde söz konusu hükümler uygulanmamalıdır. Bu halde kişisel verileri doğrudan elde eden yurtdışında yerleşik veri sorumlusu Kanun hükümlerine tabiiyeti sorunu kanunun uygulama alanına ilişkindir[8].
Bununla birlikte öngörülen mekanizmalar Tüzük’te öngörülen veri aktarım hükümleri ile birebir aynı değildir. Değişiklik ile yurtdışına kişisel verilerin aktarımı kapsamında mevcut sorunların çözümünde elverişli olabileceğini değerlendirdiğimiz değişiklikler şöyledir:
-
Yeterlilik kararı verilirken öncelikle dikkate alınacak olan hususlar maddenin önceki haline nazaran daha detaylandırılmış ve yeterlilik kararının salt ülkeler için değil ayrıca uluslararası kuruluş veya ülke içerisindeki sektörler bakımından verilmesinin önü açılmıştır. Bu kapsamda gerekçede: “Ülkemizdeki otomotiv sektörünün yoğun ticari ilişki kurduğu bir yabancı ülkenin tamamı yerine, o ülkedeki otomotiv sektörü bakımından yeterlilik kararı verilmesi mümkün hale gelmektedir” örneğine yer verilmiştir.
-
Tüzük ile uyumlu olarak Kurula ihtiyaç duyulması halinde ilgili kurum ve kuruluşlardan görüş almak suretiyle yeterlilik kararını en geç dört yılda bir değerlendirme yetkisi verilmiştir[9].
-
Tüzük ile (kısmen) uyumlu olarak yeterlilik kararının bulunmaması halinde yine de aktarılacak ülkede ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması[10] şartı ile bağlayıcı şirket kurallarına, standart sözleşme ve yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığına dayalı aktarımların önü açılmıştır.
i. Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı yeterli görüşmüştür.
ii. Gerekçede de yerinde bir şekilde eleştirilmiş olduğu üzere her bir yurtdışına aktarım faaliyetinin kurul iznine tabi tutulması uygulamada karşılık bulamamıştır[11]. Bu nedenle aktarım tarafları arasında Kurul tarafından ilan edilen standart sözleşmenin imzalanması suretiyle ayrıca bir izne ihtiyaç olmaksızın veri aktarılması mümkün olabilecektir. Ancak Tüzük’ten farklı olarak KVKK m. 9/5’te standart sözleşmenin, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kişisel Verileri Koruma Kurumuna bildirilmesi düzenlenmiştir.
- Kurul iznine tabi kılınan veri aktarımları çerçevesi çizilmiştir. Buna göre aktarımın yapılması için tek başına yeterli olmayıp ayrıca söz konusu aktarıma Kurulun izin vermesi gerekliliği aranmıştır. Bu haller değişiklikte şu şekilde sıralanmıştır:
i. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı[12],
ii. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı.
Buna ek olarak uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak kişisel verilerin Kurul’un izni ile yurtdışına aktarılması öngörülmüştür.
-
Tüzük’te “Derogations for specific situations” başlığı altında yer bulan süreklilik arz etmeyen, arızi veri aktarımları için öngörülen haller Kanun’a dâhil edilmiştir. İlgili düzenleme, büyük oranda Tüzük hükümleriyle paraleldir. Değişiklik gerekçesinde söz konusu hallerin istisnai olduğu; arızi olmak kaydıyla, diğer bir ifadeyle tek veya birkaç sefer ve süreklilik taşımayacak şekilde, yurt dışına veri aktarılmasına imkân sağlandığı belirtilmiştir. Ancak Avrupa Birliği kişisel verilerin korunması hukuku bakımından da 95/46/AT sayılı Yönerge döneminde yer almayan ve çok sınırlayıcı hallerde uygulanmak üzere istisnanın istisnası olarak Tüzük’te kendine yer bulan veri sorumlusunun zorunlu meşru menfaatine dayalı arızi aktarımlar değişiklik metnine dâhil edilmemiştir.
-
Kanun m. 9/6 olarak eklenen ve sadece arızi olmak kaydıyla kişisel verilerin aktarılmasına dayanak olabilecek bu hallerin oldukça dar yorumlanması gerekecektir. Bu kapsamda özellikle bilgilendirilmiş açık rıza dışındaki diğer haller bakımından Tüzük’te “gereklilik”ten bahsederken Kanun’da “zorunlu olması” ifadesi tercih edilmiştir[13]. Kanun bakımından Tüzük uygulamasında yer bulan örneklerde gözetilen gereklilik testinden daha sıkı bir değerlendirme yapılması gerektiği ileri sürülebilecektir. Öte yandan, bu terminoloji, Kanun m. 5’te de yer alan veri işleme şartları bakımından da öngörülen “zorunluluk” şartına uyumun sağlanması için yurtdışına aktarıma ilişkin maddenin değişikliğinde muhafaza edilmiş olabilir.
-
Tüzüğün yürürlüğe girmesinden sonra özellikle Standart Contractual Clauses ve Avrupa Birliği ile Amerika Birleşik Devletleri arasındaki veri aktarımına ilişkin sözleşmelerin geçerliliğine ilişkin tartışmalar söz konusu istisna hallerin uygulamada mutat süreçler için uygulanabilir olup olmadığının tartışılmasına sebep olmuştur. Bu doğrultuda Tüzük m. 49 kapsamındaki derogasyonlara ilişkin olarak 25 Mayıs 2018’de kabul edilen Avrupa Veri Koruma Kurulu rehberinde açık bir şekilde bütün hallerin ara sıra ve tekrarlamayan veri aktarımlarında uygulama alanı bulabileceği ifade edilmiştir[14]. Rehber kapsamında çok sınırlı sayıda olumlu örnek bulunmaktadır[15]. Örneğin seyahat acentelerinin, bireysel müşterilerinin otellere veya bu müşterilerin yurt dışında kalmalarının organizasyonunda dahil diğer organizasyonlara kişisel verilerini aktarması, seyahat acentesi ve müşteri arasında yapılan sözleşmenin amaçları için gerekli olarak kabul edilebilir[16]. Uluslararası iş birliğini teşvik etmek amacıyla önemli kamu yararının tespitinde karşılıklılık ruhu içinde, Türkiye’nin taraf olduğu bir anlaşmanın veya sözleşmenin varlığı göz önünde bulundurulabilecektir[17]. Bu halde Türkiye ile birlikte üçüncü bir ülkenin üstün kamu yararı için kişisel verilerin aktarılmasının zorunlu olması yine istisnalara örnek olarak verilebilecektir.
C. Yurtdışına Aktarımda Yeni Dönem
2021 yılında açıklanan İnsan Hakları Eylem Planında, Ekonomi Reformları Eylem Planında ve 2024-2026 Orta Vadeli Programda yer verilen Tüzüğe uyum sağlanması hedefi kapsamında öncelikli olarak yurtdışına aktarım kurallarının uyumlaştırılması bakımından yapılan kanun değişikliği son derece önemlidir. Bu kapsamda Kurul tarafından ilan edilecek standart sözleşmeler ve Kurul tarafından onaylanacak bağlayıcı şirket kuralları son derece önem taşımaktadır. Değişiklik öncesi dönemde Kurul tarafından veri aktarımına ilişkin izin başvurularda kullanılmak üzere yayınlanmış taahhütnamelerin[18] esas alınıp alınmayacağı, ne yönde değişiklikler olacağı KVKK m. 9/11 uyarınca çıkarılacak yönetmelik ile netlik kazanacaktır. Bu kapsamda yapılacak çalışmalarda Kanun’un Tüzük ile uyumlaştırılması olduğundan Avrupa Birliği’nde oldukça sıcak bir alan olan yurtdışına aktarım kurallarındaki değişikliklerin gözetilmesi yerinde olacaktır[19].
Ancak Kanunda veri işleyen tarafından yapılan aktarımların da düzenlenmesiyle birlikte
- veri sorumlusu – veri sorumlusu,
- veri sorumlusu – veri işleyen ve
- veri işleyen – veri işleyen aktarımlarına uygun standart sözleşmelerin ilan edilmesi beklenmektedir.
Yine bu sözleşmelerin imzalanmasını takiben beş iş günü içerisinde Kuruma yapılacak bildirime ilişkin detayların da yönetmelik ile düzenlenmesi yerinde olacaktır. Özellikle fıkrada yer alan “imzalanması” ifadesinin açıklığa kavuşturulması gereklidir. Zira TBK m. 15’te: “(1) İmzanın, borç altına girenin el yazısıyla atılması zorunlu” olduğu düzenlenmiştir. Bu anlamda imzalanmayla kastedilenin el yazısı ile imza olup olmadığının Kurul tarafından belirlenmesi gerekir. Buna ilaveten TBK m. 15/1 ikinci cümlede “güvenli elektronik imzanın da”, el yazısıyla atılmış imzanın bütün hukuki sonuçlarını doğuracağı düzenlenmiştir. Kanaatimizce “imzalanma” ifadesinin elektronik imzayı da kapsadığı kabul edilmelidir.
Ayrıca “imzalanma” ifadesiyle Türk Borçlar Kanunu anlamında yazılı şekil kastediliyorsa TBK m. 14/2 hükmünün de dikkate alınması gerekir. Buna göre: “Kanunda aksi öngörülmedikçe, imzalı bir mektup, asılları borç̧ altına girenlerce imzalanmış̧ telgraf, teyit edilmiş̧ olmaları kaydıyla faks veya buna benzer iletişim araçları ya da güvenli elektronik imza ile gönderilip saklanabilen metinler de yazılı şekil yerine geçer”. Böylece Türk hukukunda, teyit edilmiş olmaları kaydıyla faks veya buna benzer iletişim araçları ile gönderilip saklanabilen metinlerin de yazılı şekil yerine geçeceği düzenlenmiştir. Hükmün ne şekilde anlaşılması gerektiği ise doktrinde tartışmalıdır[20]. Kurum’un bu yönüyle de “imzalanma” ifadesinin kapsamını tespit etmesi faydalı olacaktır.
Özellikle Kanun teklifi gerekçesinde mevcut durumdaki “ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği gibi, Ülkemize yapılacak yatırımları da engelleyici bir hal” eleştirilerek yurtdışına veri aktarımında yeni kuralların düzenlendiği belirtilmektedir. Sunucuları yurt dışında bulunan, bulut tabanlı yazılım ve uygulamaların lisans/hizmet sözleşmeleri çoğunlukla elektronik ortamda tarafların imzası aranmaksızın kurulmaktadır. Bu kapsamda gerçekleşecek yurtdışına veri aktarımları bakımından temel sözleşmenin eki haline getirilmiş standart sözleşmeler bakımından imzalanma şartının nasıl sağlanacağı değerlendirilmelidir.
Kanun’da söz konusu bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası uygulanacağı hüküm altına alınmıştır. Söz konusu cezaların 2024 yılına ilişkin olduğu ve kanunun yürürlüğünden itibaren sonraki seneler için yeniden değerleme oranları ile güncelleneceği değerlendirilmektedir.
Yeterli korumayı sağlayacak hükümlerin yer aldığı ve Kurulun izin vermesi ile kişisel verilerin aktarımında yasal bir zemin yaratacak olan yazılı bir taahhütname bakımından asgari unsurların yine yönetmelik ile belirlenmesi söz konusu olabilecektir.
D. Geçiş dönemi sorunları
Yapılan değişiklikler 01.06.2024 tarihinde yürürlüğe girecektir. Bununla birlikte “Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.” kuralının 01.09.2024 tarihine kadar uygulanmaya devam edileceği düzenlenmiştir. Bu hükmün, yurt dışına aktarım mekanizmalarına yönelik usul ve esasların ikincil düzenlemelerle belirginleşeceği hususu göz önünde bulundurularak muhafaza edildiği düşünülmektedir.
Kurum tarafından yayınlanan 2022 yılı faaliyet raporunda Kurul incelemesine yedi taahhütname sunulduğu, dört tanesinin incelemesinin tamamlandığı, 30 tanesinin incelemesine devam edildiği belirtilmiştir. İncelemesi tamamlanan başvurulardan sadece beşi onaylanmış 40’ı reddedilmiştir. Başvuru aşamasındaki taahhütnamelerin akıbetinin ne olacağının da ikincil düzenlemelerle belirlenmesinin uygun olacağı kanaatindeyiz.
E. Değişikliklerin Özeti ve Hükümlerin Karşılaştırması
Özel nitelikli kişisel verilerin işleme şartlarının genişletilmiş ve özel nitelikli kişisel veriler altındaki sağlık ve cinsel hayata ilişkin veri ve diğer özel nitelikli kişisel veri ayrımı kaldırılmıştır. Kanun’da özel nitelikli veriler bakımından öngörülmüş olan hukuka uygunluk sebepleri Tüzük ile kıyaslandığında sınırlı sayıdaydı ve bu durum uygulama açısından birtakım sorunlara sebep olmaktaydı. Yapılan değişiklikle uygulamadaki birtakım ihtiyaçların giderileceği düşüncesindeyiz.
KVKK m. 6 (ilk hali) | Değişiklik Sonrası KVKK m. 6 |
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. |
(1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. |
Kişisel verilerin yurtdışına aktarımında açık rızayı önceleyen yaklaşım terk edilmiştir. Değişiklik ile kişisel verilerin yurtdışına aktarımında hem veri sorumluları hem de veri işleyenler tarafından gerçekleştirilecek aktarımlar için aşağıda sayılan gereklilikler aranmaktadır:
- Aktarım yapılacağı ülke hakkında yeterlilik kararının bulunması,
- Yeterlik kararının bulunmaması ancak ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla:
i. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi,
ii. Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı,
iii. Kurul tarafından ilan edilen standart sözleşmenin varlığı ve sözleşmenin akdedildiğine ilişkin olarak beş iş günü içerisinde Kurul’a bildirim şartının sağlanması (bildirim yapılmaması haline özgü idari para cezası belirlenmiştir.)
iv. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. - Arızi veri aktarımlar için istisnalar belirlenmiştir.
- Sonraki aktarımlar (onward transfers) bakımından da aktarım kurallarının geçerli olacağı belirtilmiştir.
- Yurtdışına aktarıma ilişkin usul ve esasların yönetmelik ile ayrıca düzenleneceği belirtilmiştir.
KVKK m. 9 (ilk hali) | Değişiklik Sonrası KVKK m. 9 |
(2) Kişisel veriler, inci maddenin ikinci fıkrası ile 6 ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede; a) Yeterli korumanın bulunması, b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir. (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir. (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine; a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri, b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu, c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini, ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını, d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir. (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. |
(1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir. (2) Yeterlilik kararı, Kurul tarafından verilir ve Resmi Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. (3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır: a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tabi olduğu kurallar. c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tabi olduğu bağımsız ve etkin bir ver koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması. ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu. d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu. e) Türkiye’nin taraf olduğu uluslararası sözleşmeler. (4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkanının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir: a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi. b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. (5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir. (6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir: a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması. c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. ç) Aktarımın üstün bir kamu yararı için zorunlu olması. d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması. (7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz. (8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır. (9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. (11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir. |
- Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabileceği düzenlenmiştir.
KVKK m. 18 (ilk hali) | Değişiklik Sonrası KVKK m. 18 |
(1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 1.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 1 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 2.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. |
(1) Bu Kanunun; a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar, b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 1.000 Türk lirasından 1.000.000 Türk lirasına kadar, c) 1 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 2.000 Türk lirasından 1.000.000 Türk lirasına kadar, ç) 16 ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir. (2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır. (3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir. (4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir. |
- Geçici madde ile açık rızaya dayalı yurtdışına aktarımların 1 Eylül 2024’e kadar geçerli olacağı düzenlenmiştir.
Değişiklik ile eklenmiştir. |
GEÇİCİ MADDE 3- |
Dipnotlar
https://kvkk.gov.tr/SharedFolderServer/CMSFiles/8d119dab-5886-4300-bd13-4eaf9bf15ea0.pdf ↩︎
Ayrıca bkz. Ömer Ekmekçi/Nafiye Yücedağ/Elif Beyza Akkanat-Öztürk/Şehriban İpek Aşıkoğlu, Kişisel Verilerin Korunması Hukuku, İstanbul 2024, s. 166. ↩︎
RG. T. 08.01.2018, S. 30295. ↩︎
Ayrıca bkz. Karayolu Taşıma Yönetmeliği m. 2. ↩︎
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=13013&MevzuatTur=7&MevzuatTertip=5. ↩︎
https://cdn.tbmm.gov.tr/KKBSPublicFile/D28/Y2/T2/WebOnergeMetni/6e8b6477-2942-49d1-acf1-cfa13bcac252.pdf. ↩︎
KVKK 9/1-b hükmü: “Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması” ↩︎
Bu konuda bkz. Ekmekçi/Yücedağ/Akkanat-Öztürk/Aşıkoğlu, s. 43 vd. ↩︎
“…Buna göre, Kurul ihtiyaç duyması halinde ilgili kurum ve kuruluşlardan görüş almak suretiyle yeterlilik kararını en geç dört yılda bir değerlendirecektir. … Fıkrada düzenlenen dört yıllık süre düzenleyici süre olup, Kurul bu süre dolmadan da yeterlilik kararını gözden geçirebilecektir.” (Gerekçeden). ↩︎
GDPR m. 46/1’de yer alan şart “…on condition that enforceable data subject rights and effective legal remedies for data subjects are available.”. ↩︎
“Günümüze kadar Kurula sekseni aşkın taahhütname başvurusu yapılmış olup, bunlardan çok azına izin verilmiştir. Bu nedenle yurt dışına veri aktarılması uygulamada sadece ilgili kişilerin açık rızalarının alınmasına bağlı hale gelmiştir. Bu durum, ticari hayatta hemen hemen her şirket ve gerçek kişi tarafından sıklıkla kullanılan ve sunucuları yurt dışında bulunan ve çoğu bulut tabanlı yazılım ve uygulamaların hukuka uygun olarak kullanılabilmesini neredeyse imkânsız hale getirdiği gibi. Ülkemize yapılacak yatırımları da engelleyici bir hal almıştır.”(Gerekçeden). ↩︎
“Buna göre, Ülkemizdeki bir kamu kurumunun yabancı ülkedeki ilgili kamu kurumuyla belli alanda yapacağı işbirliği protokolü çerçevesinde, Kurulun izin vermesi şartıyla, karşılıklı yapılacak faaliyetlerin gerektirdiği kişisel verilerin yurt dışındaki kamu kurumuna aktarılması mümkün olacaktır…” (Gerekçeden). ↩︎
Aynı terminoloji farklılığının KVKK 5’de yer alan veri işleme şartları bakımından da geçerli olduğu yönünde bkz. Ekmekçi/Yücedağ/Akkanat-Öztürk/Aşıkoğlu, s. 141 vd. ↩︎
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, s. 4-5. ↩︎
Nitekim Article 29 Çalışma Grubu 95/46 sayılı Yönerge zamanında konuya ilişkin olumlu örnek vermekten kaçmıştır. Bkz. Working document on a common interpretation of Article 26(1) of Directive 95/46/EC of 24 October 1995. ↩︎
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, s. 9. ↩︎
Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, s. 10. ↩︎
Taahhütname metinlerine ulaşmak için bkz. https://www.kvkk.gov.tr/Icerik/2053/Yurtdisina-Aktarim. ↩︎
4 Haziran 2021 tarihinde, Komisyon, Avrupa Birliği ve Avrupa Ekonomik bölgesindeki veri sorumluları veya veri işleyenlerden (veya Tüzüğe tabi diğer durumlarda) Avrupa Birliği ve Avrupa Ekonomik bölgesi dışındaki veri sorumluları veya veri işleyenlere (ve Tüzüğe tabi olmayanlara) veri transferleri için Tüzük kapsamında modernleştirilmiş standart sözleşme maddeleri yayımlamıştır. Bu modernleştirilmiş standart sözleşme maddeleri, önceki 95/46/AT sayılı Yönerge kapsamında benimsenen üç set SCC'nin yerine geçmektedir. Bilgi için bkz. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en ↩︎
Nafiye Yücedağ, Elektronik Ticarette Kişisel Verilerin İşlenmesine (Açık) Rıza, İstanbul 2022, s. 134. ↩︎