Lexpera Blog

Yargı Paketinde KVKK Değişiklikleri

Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi “8. Yargı Paketi”, TBMM’ye sunuldu ve Adalet Komisyonu’nda kabul edildi. Teklif bünyesinde bir süredir üzerinde çalışıldığı bilinen, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKKn”) değişiklik teklifleri de yer almakta.

1. Özel Nitelikli Kişisel Verilerin İşlenmesi Hk. (md. 6)

İlk değişiklik teklifi, özel nitelikli kişisel verilerin işlenme şartlarına ilişkindir. Mevcut düzenlemede KVKKn md. 6 ile özel nitelikli kişisel verilerin işlenmesi noktasında önce bir genel yasak getirilmiş, devamında ise bazı özel nitelikli kişisel veri kategorileri açısından istisna işleme halleri düzenlenmiştir. Buna göre, “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri” olarak sayılan özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasak iken “sağlık ve cinsel hayat dışındaki” kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir. “Sağlık ve cinsel hayata ilişkin” kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla ilgilinin açık rızası aranmaksızın işlenebilecektir. Bu işlemeyi ise yalnızca sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşları yapabilecektir.

Getirilmesi öngörülen değişiklik ile ise öncelikle özel nitelikli kişisel verilerin kendi içinde yaratılan “Sağlık ve cinsel hayata ilişkin” olan ve olmayan ayrımı kaldırılmış, tüm özel nitelikli kişisel verileri kapsayacak surette işleme nedenleri öngörülmüştür. Teklife göre özel nitelikli kişisel veriler ancak şu hallerde işlenebilecektir:

  1. İlgili kişinin açık rızası olması,
  2. Kanunlarda açıkça öngörülmesi,
  3. Fiili imkansızlık nedeniyle rızası açıklanamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
  4. İlgili kişinin alenileştirdiği kişiselverilere ilişkin ve alenileştirme iradesine uygun olması,
  5. Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
  6. Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
  7. İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetlerve sosyal yardım alanında hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
  8. Siyasi, felsefi,dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tabi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veya bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması.

Bu haliyle özel nitelikteki kişisel verilerin işlenme şartları bir önceki düzenlemeye göre gevşetilmiş görülmektedir. Kanun koyucu işlenme şartları açısından katı düzenlemeden uzaklaşarak öncekine göre daha gevşek bir düzenleme yapmayı tercih etmiş görünmektedir. Bu yönüyle piyasada veriyi işleme noktasında iş akışlarında sorun yaşayan ve kimi noktalarda kilitlenen işverenin ve sivil toplum örgütlerinin (sendika, dernek, vakıf) özel nitelikli kişisel veri işleme konusunda elini kolaylaştıran bir yöne evrilmiştir.

2. Kişisel Verilerin Yurtdışına Aktarılması Hk. (md. 9)

Halihazırda uluslararası alanda da sorunlu konulardan olan kişisel verilerin yurtdışına aktarımı hususu, Türk mevzuatında da gerek yasal düzenleme gerekse Kurul uygulamaları düzleminde en tartışmalı başlıklardan biri olmaya devam etmektedir.

Mevcut düzenlemede, kişisel verilerin yurtdışına aktarımında KVKKn md. 9 ile kademeli bir düzenleme öngörülmüştür. Buna göre, kural, kişisel verilerin, ilgili kişinin ancak açık rızası ile yurt dışına aktarılabilmesi, açık rızası yok ise aktarılamayacak oluşudur. Md. 9/2 uyarınca ise kişisel verilerin, 5/2 ve 6/3 maddelerinde belirtilen şartlardan birinin varlığı halinde ve kişisel verinin aktarılacağı yabancı ülkede;

a) Yeterli korumanın bulunması kaydıyla veyahut
b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurul’un izninin bulunması kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabileceğinin düzenlendiği görülmektedir.

Maddenin 3. fıkrasına göre ise, yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilmek durumunda olup 4. fıkrada Kurul’un yabancı ülkede yeterli koruma bulunup bulunmadığına ve 2/(b) bendi uyarınca yapılan taahhüt izni başvurusuna izin verilip verilmeyeceğine karar verirken kullanacağı kriterlere yer verilmiştir.

Söz konusu düzenlemeye tarafımızca getirilen en temel eleştiri uygulamanın kilitlenmesi ve işlemez hale gelmesi tarafında idi. Zira uzun yıllar süren kanunlaşma çalışmalarının ardından 6698 sayılı KVKK, 24.03.2016 tarihinde kabul edilmiş, 07.04.2016 tarih ve 29677 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girmiş, yurt dışına aktarımı düzenleyen 9. maddenin de aralarında bulunduğu birtakım maddelerin yürürlüğe 6 ay ertelenmiş, dolayısıyla bu hükümler de 07.10.2016 tarihi itibariyle yürürlüğe girmişti. O günden bugüne geldiğimizde, Kurul’un yedi yılı aşkın süredir “yeterli korumanın bulunduğu ülkeler”i belirlemediği, başlarda kişi ve kurumları bağlayıcı şirket kurallarına yönlendirme yoluyla çözüm bulmaya çalıştığı ancak bunun da pratikte çok karşılığının olmadığı (örneğin BCR kabulü alabilmiş olan şirket sayısı dünya genelinde dahi çok sınırlı olduğu), taahhütnameler ve izin süreci ile ilgili sorunlar ve sorumluluğun tümüyle sektörün üzerinde bırakılarak bir yandan da ceza tesisine devam edildiği, hatta Kurul’un, Amazon Turkey kararında Amazon Turkey’nin (karar tarihinde – 2020 yılı) yaptığı ve fakat henüz incelemediği bir taahhüt izin başvurusu söz konusu olduğunda dahi takdirini cezalandırmadan yöne kullandığı örneği de göz önüne alındığında yurtdışı aktarım konusundaki sorunlu çıkmaz anlaşılacaktır[1].

Getirilen teklif ile ise durum şöyle değişmektedir. Buna göre kişisel veriler, md. 5 ve 6’da belirtilen işleme nedenlerinden birinin varlığı ve “aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması” halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilecektir. Bu yeterlilik kararı ise yine Kurul tarafından verilecektir. Mevcut düzenlemedeki izin mekanizmasına (md. 9/4) benzer bir yeterlilik kararı verme kriterlendirmesi söz konusudur. Bu kriterlerinde detaylarına girilmeyecek olmakla yeni olarak görülecek hususa geçilmelidir. Yeterlilik kararı bulunmaması halinde, veri sorumluları açısından yeni bir kademelendirme getirilmiştir. Buna göre;

Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5'inci ve 6'ncı maddelerde belirtilen şartlardan birininvarlığı, ilgili kişininaktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarınabaşvurma imkanının bulunmasıkaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
b) Ortak ekonomik faaliyette bulunanteşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
c) Kurul tarafından ilan edilen,veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtivaeden standart sözleşmenin varlığı.
ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılıbir taahhütnamenin varlığıve Kurul tarafından aktarıma izin verilmesi.

Buna göre, kurumlar arası anlaşma ve Kurul izni; bağlayıcı şirket kuralları; standart sözleşme hükümleri; taahhütname ve Kurul izni şeklinde dört türlü bir seçenek getirilmekte; bunlardan standart sözleşmenin, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilmesi istenmektedir. Standart sözleşme hükümleri uygulaması (SCC – “Standard Contract Clauses”) düzenlemeye dahil edilmiş ve AB düzenleme ve uygulamasında olduğu gibi Kurul tarafından yayımlanacak ve kaydı tutulacak bir şekle alınmıştır.

Yeterlilik kararının bulunmaması ve yukarıda sayılan uygun güvencelerden sağlanamaması durumunda ise aşağıdaki hallerden birininvarlığı halinde yine yurt dışına kişisel veri aktarabilecektir:

a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
d) Aktarımın üstün bir kamu yararı için zorunlu olması.
e) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
f) Fiili imkânsızlık nedeniyle rızası açıklanamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
g) Kamu yararı veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Söz konusu düzenleme ile bir yandan yurtdışına aktarıma ilişkin kanundaki somutlaşan genel ilkelerden uzaklaşmak istenilmemekle birlikte pratikte yurtdışı aktarımına ilişkin ortaya çıkan sorunlara karşı ara çözümler bulmaya ilişkin bir eğilimin düzenlemeye yansıdığı görülmektedir. Bir yandan ana ilkeler korunmak istenmekle birlikte kanunda ifadesini bulan “arızi olma” belirsiz bir kavram olup her iki yönde (yani aktarımın yapılmasının aşırı kısıtlanabilmesi ya da tam tersi) diğer ilke ve kuralları geçersiz kılacak şekilde uygulanma elverişlidir. Bu normun pratikteki serüveninin, kanunun yorumlanmasından değil, burada düzenlediği ilişkiler üzerinden şekillenmesi muhtemeldir.

3. İdari Para Cezalarına Karşı İdare Mahkemelerinin Görevli Kılınması Hk. (md. 18)

Halihazırdaki düzenlemede, Kurul tarafından verilecek idari para cezalarına karşı idare mahkemeleri özel olarak görevli kılınmadığından uyuşmazlıklar Sulh Ceza Hakimlikleri nezdinde görülmektedir. Baştan beri eleştiriler arasında yer alan Sulh Ceza Hakimliklerinin idari para cezalarına karşı etkin ve yeterli bir inceleme yapmadan karar verdiği konusu yakın tarihte yayınlanan Anayasa Mahkemesi’nin 2020/7518 Başvuru No.lu kararında da ihlal olarak hükme bağlanmış idi[2]. Burada sorunun kaynağı yargı yolunun kendisinden türeyen yapısal bir sorun olmamakla pratikte ortaya çıkan sorunların çözüme kavuşup kavuşmayacağının tespitini, idari yargı yolundaki süreç gösterecektir.

Söz konusu değişiklikler bir bütün olarak değerlendirildiğinde, temel hak ve özgürlükler temalı yaklaşımlara dayanılarak kişisel verilerin korunmasına ilişkin değer ile piyasadaki eyleyicilerin talepleri arasındaki denge açısından bakılarak bu alandaki ulusal ve uluslararası eyleyicilerin elini rahatlatacak ara çözümler üretilmeye çalışıldığı görülmektedir. Hükümlerin yorumlanması ve uygulanması tarafındaki süreç takibe şayandır.


Dipnotlar


  1. Kararın detaylı incelemesi için Bkz. Ketizmen, Muammer – Kart, Aslıhan, KİŞİSEL VERİLERİ KORUMA KURULU VE YURTDIŞINA VERİ AKTARIMI SORUNU, 13.05.2020, Hukuki Haber, https://www.hukukihaber.net/kisisel-verileri-koruma-kurulu-ve-yurtdisina-veri-aktarimi-sorunu ↩︎

  2. Anayasa Mahkemesi, 12.10.2023 tarih ve 2020/7518 Başvuru No.lu karar (15.12.2023 tarih ve 32400 sayılı Resmi Gazete) ↩︎

Lexpera Blog’da yayımlanan yazılar, yazarlarının görüşlerini ifade eder. Lexpera Blog’da bir yazıya yer verilmesi, o yazıda savunulan görüşlerin On İki Levha Yayıncılık tarafından benimsendiği anlamına gelmez. Yazılar, bilgi amaçlı olup, hukuki mütalaa ya da tavsiye niteliği taşımamaktadır.
5846 sayılı Fikir ve Sanat Eserleri Kanunu ve diğer mevzuat hükümlerine aykırı ve bilimsel yazma etik kurallarını aşan iktibaslar konusunda yazarların ve On İki Levha Yayıncılık’ın rızası bulunmamaktadır.
Author image
Hacettepe Üniversitesi Ceza ve Ceza Muhakemesi Hukuku A.B.D.