12 Mart 2024 tarihli Resmi Gazete’de yayımlanan 8. Yargı Paketi kapsamındaki düzenleme ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”)’nda değişiklikler ihdas edildi. Bu değişiklikler bugün, 1 Haziran 2024 tarihinde yürürlüğe girmiş olup, KVKK’da yapılan bu değişiklikler hakkında sizleri bilgilendirmek isteriz.

1. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Kanun’un 6. Maddesindeki Değişiklik

Kanun’un 6. Maddesinde yapılan değişiklik ile özel nitelikli kişisel verilere dair getirilen düzenleme aşağıdaki gibidir:

“…(3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

a) İlgili kişinin açık rızasının olması,

b) Kanunlarda açıkça öngörülmesi,

c)Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,

ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,

d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,

e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,

f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,

g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,

halinde mümkündür.”

2. Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin 6. Maddede Yapılan Değişiklik ile İlgili Açıklamalar

Değişiklik öncesinde, özel nitelikli kişisel verilerden olan “sağlık ve cinsel hayata ilişkin veriler” için ayrı bir veri işleme sistemi öngörülmekteydi. Belirtilen özel nitelikli kişisel verilerin işlenmesi yalnızca, (i) ilgili kişiden açık rıza alınması şartıyla ya da (ii) kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum kuruluşlar tarafından (açık rıza aranmaksızın) işlenmesi şartıyla mümkündü. Kanun’da yapılan değişiklik ile “sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler” için öngörülen farklı sistem terk edilmiştir ve bu veriler diğer özel nitelikli kişisel verilerin işlenmesi ile aynı şartlara tâbi tutulmuştur.

Sağlık verilerinin işlenmesi ile ilgili yukarıda bahsedilen sınırlama, uygulamada özellikle istihdam ilişkilerinde çalışanların sağlık verilerinin, sağlık raporlarının işlenebilmesi ile ilgili sorunlara neden olmaktaydı. Zira Kanun’un önceki hükümleri uyarınca çalışanların sağlık verileri ya açık rıza alınması suretiyle ya da açık rızanın olmadığı durumlarda yalnızca iş yeri hekimi tarafından ve Kanun’da belirtilen amaçlarla sınırlı olması suretiyle işlenebilmekteydi. Ancak her iş yerinde iş yeri hekiminin bulunması zorunlu olmadığı için çalışanların sağlık verisi genel olarak yalnızca açık rıza ile işlenmekteydi.  Çalışanların açık rızayı özgür iradeleri ile verip vermedikleri ve rızanın geri alınabilme imkânı ise tartışılan hususlardandı. Kanun’da yapılan değişiklik ile uygulamadaki bu tartışmalara son verilmiş ve sağlık verilerinin istihdam ilişkileri kapsamında işlenebilmesi Kanun’a uyulması şartıyla açık rıza olmaksızın dâhi mümkün kılınmıştır.

Sağlık verilerinin ayrıca kanunlarda açıkça öngörülmesi halinde de işlenmesi artık mümkün kılınmıştır. Başka kanunların sağlık verisinin işlenmesini gerektirmesine rağmen Kanun’un önceki hükümlerinin işlemeye izin vermemesi yine tartışmalara neden olan bir husustu. Kanun’da yapılan değişiklik neticesinde, diğer özel nitelikteki kişisel veriler gibi sağlık ve cinsel hayata ilişkin veriler de kanunlarda açıkça öngörülmesi halinde açık rıza aranmaksızın işlenebilecektir.

Kanun’un değişen madde 6 hükmündeki diğer bentlerinde de sağlık ve cinsel hayata ilişkin özel nitelikli veriler bakımından farklılıklar giderilmiş ve özel nitelikli kişisel verilerin genel olarak işlenebilme şartları genişletilmiştir.

3. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Kanun’un 9. Maddesinde Yapılan Değişiklik ile İlgili Açıklamalar

Kanun’un önceki hükümleri uyarınca kişisel veriler; (i) açık rıza ile, (ii) güvenli ülke kararına istinaden, (iii) güvenli ülke kararının bulunmaması halinde ise taahhütnamenin varlığı halinde yurt dışına aktarılabiliyordu. Ancak uygulamada Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından henüz güvenli ülkeler listesi kabul edilmemiştir. Ayrıca çok az sayıda taahhütnamenin Kurul’un onayından geçtiği bilinmektedir. Bu sebeple, kişisel verilerin yurt dışına aktarılması için en çok kullanılan yöntem ilgili kişinin açık rızasıdır. Ancak ilgili kişinin rızasını geri alması mümkün olduğu için ve verilerinin silinmesini veya yok edilmesini isteme hakkı olduğu için, bir kere yurt dışına aktarılan verinin silinmesi, yok edilmesi uygulamada sorunlara sebebiyet vermektedir. Kanun’un mehazı olan Avrupa Veri Koruma Tüzüğü (General Data Protection Regulation) (“GDPR”) yurt dışına veri aktarımında açık rızayı genel bir aktarım şartı olarak kabul etmemekte, istisnai hallerde açık rızaya dayalı olarak yurt dışına veri aktarımına izin vermektedir. Kanun’da yapılan değişiklik ile yurt dışına kişisel veri aktarımında GDPR’daki sisteme daha yakın bir sistem getirilmiştir. Kanun’da yapılan değişiklik ile yurt dışına kişisel veri aktarımı için kabul edilen yeni sistem şu şekildedir:

1. Yeterlilik kararının varlığı,
2. Uygun güvenceler (yeterlilik kararının bulunmadığı hallerde),
3. Arızi hallere ilişkin aktarım şartları (yeterlilik kararının ve uygun güvencelerin bulunmadığı hallerde).

3.1. Yeterlilik Kararı

Yeterlilik kararı Kurul tarafından verilecek ve Resmi Gazete’de yayımlanacaktır. Yeterlilik kararı yalnızca bir ülke için değil, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında da verilebilecek ve en geç dört yılda bir Kurul tarafından değerlendirilecektir. Yeterlilik kararı verilirken dikkat edilecek hususlar Kanun’da düzenlenmiştir.

3.2. Uygun Güvenceler

Kanun’a göre yeterlilik kararının bulunmaması halinde, kişisel verilerin yurt dışına aktarılması için başvurulacak mekanizma uygun güvenceler olacaktır.  Uygun güvenceler Kanun’da aşağıdaki gibi sıralanmıştır:

1. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’dekiler arasında bir idari anlaşmanın varlığı ve Kurul’un aktarıma izin vermesi;
2. Bağlayıcı şirket kurallarının varlığı;
3. Standart sözleşmenin varlığı;
4. Yazılı taahhütnamenin varlığı ve Kurul’un izni.

Uygun güvenceler kapsamında, Kanun değiştirilmeden önce Kurul tarafından belirlenen Bağlayıcı Şirket Kuralları geçerliliğini korumaktadır. Bir diğer uygun güvence olarak, standart sözleşmelerin varlığı halinde de yurt dışına veri aktarımı mümkündür. Ancak standart sözleşmelerin veri sorumlusu ve veri işleyenler tarafından beş işgünü içesinde Kurul’a bildirilmesi gerekmektedir. Yurt dışına veri aktarımında bulunmak isteyen tarafların düzenleyecekleri yazılı bir taahhütname ile de yurt dışına veri aktarımı yapılması mümkündür. Ancak bu yazılı taahhütnamelerin Kurul tarafından onaylanması gerekmektedir. Kanun değişikliğinden önce yurt dışına kişisel veri transferi için yapılması gerekenler ile ilgili olarak yalnızca veri sorumlusu muhatap alınmaktaydı. Kanun’da yapılan değişik ile yurt dışına kişisel veri transferi için veri işleyenlere de yükümlülük getirilmiştir.

3.3. Arızi Haller

Kanun’daki değişiklik uyarınca, yurt dışına kişisel veri aktarımı için yeterlilik kararının bulunmaması ve yukarıda sayılan uygun güvencelerden herhangi birinin sağlanmaması halinde, arızi olması şartıyla aşağıda belirtilen istisnai hallerden herhangi birinin varlığı halinde yurt dışına kişisel veri aktarılabilecektir:

1. İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
2. Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
3. Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
4. Aktarımın üstün bir kamu yararı için zorunlu olması.
5. Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
6. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
7. Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

Kanun’daki değişiklik neticesinde, yurt dışına kişisel veri transferinde açık rıza istisnai, yani arızi hallerde geçerli bir hukuka uygunluk sebebi hâline getirilmiştir. Buna göre, yurt dışına kişisel veri aktarımında öncelikle yeterlilik kararı ile uygun güvencelerin varlığı sağlanmalıdır. Bunların sağlanamaması halinde, istisnai olarak arızi hallerde, açık rıza ve Kanun’da sayılan diğer hukuka uygunluk sebepleri ile yurt dışına veri aktarımı yapılabilecektir. Her hâlükârda, arıziliğin söz konusu olmadığı bir durumda, açık rızanın yurt dışına veri aktarımını hukuka uygun hale getirmeyeceği anlaşılmaktadır.

4. Kanun’un Kabahatler Başlıklı 18. Maddesinde Yapılan Değişiklikler ile İlgili Açıklamalar

Kanun’da yapılan değişiklik ile 9. maddede öngörülen standart sözleşmenin Kurul’a bildirilmesi yönündeki yükümlülüğü yerine getirmeyenler için 50.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası getirilmiştir. Kanun’da öngörülen idari para cezasının “veri sorumlusu veya veri işleyen” hakkında uygulanacağı ifade edildiğinden, yurt dışına veri aktarımını kim gerçekleştiriyorsa, ilgili yükümlülüğün yerine getirilmemesi halinde onun hakkında idari para cezasının uygulanması gerektiği kabul edilmektedir.

Kanun’un önceki versiyonunda, Kurul’un idari para cezalarına karşı itirazların hangi yargı merciine yapılması gerektiği ile ilgili açık bir hüküm bulunmamaktaydı. Ancak uygulamada, Kurul’ca verilen idari para cezalarına karşı itirazlar Sulh Ceza Hâkimliklerine yapılmaktaydı. Kanun’da yapılan değişiklik neticesinde, bu hususta bir hüküm getirilmiş ve idari para cezalarına karşı yargı yolu olarak İdare Mahkemelerinde idari dava açılması gerektiği düzenlenmiştir.   

5. Kanun’a Eklenen Geçici Madde ve Yürürlük ile İlgili Açıklamalar

Kanun’da yapılan ve yukarıda açıklanan değişiklikler 01 Haziran 2024 tarihinde yürürlüğe girmiştir. Şu kadar ki, Kanun’a eklenen geçici madde ile, Kanun’un önceki 9. Madde 1. Fıkrasının, maddenin değiştirilen hali ile birlikte 01/09/2024 tarihine kadar uygulanmaya devam olunacağı öngörülmüştür. Kanun’un 9. Maddesinin 1. Fıkrası, kişisel verilerin ilgili kişilerin açık rızası olmaksızın yurt dışına aktarılamayacağına ilişkindir.  Dolayısıyla, kişisel verilerin yurt dışına aktarılmasına dair ilgili kişilerden alınan açık rızaların 1 Eylül 2024 tarihine kadar geçerli bir hukuki sebep olarak değerlendirileceği anlaşılmaktadır.

Ayrıca Kanun’a eklenen geçici madde uyarınca, Kurul tarafından verilen idari para cezalarına karşı 1 Haziran 2024 tarihi itibarıyla hâli hazırda Sulh Ceza Hâkimliklerinde görülmekte olan itirazlar, bu hâkimliklerde görülmeye devam edecektir. Ancak Kurul’un idari para cezalarına karşı yeni itirazlar için görevli mahkeme İdare Mahkemesi olacaktır.

6. Sonuç

Öncelikle, Kanun’un 6. maddesinde yapılan değişiklik ile sağlık ve cinsel hayata ilişkin verilerin farklı işlenme şartları kaldırılmış ve bunların işlenmesi, diğer özel nitelikli kişisel verilerin işlenmesi ile aynı şartlara tâbi tutulmuştur. Genel olarak tüm özel nitelikli kişisel verilerin işlenme şartları ise genişletilmiştir. Bu doğrultuda, aydınlatma metinlerindeki özel nitelikli kişisel verilerin işlenmesine ilişkin olarak belirtilen hukuki sebeplerin güncellenerek Kanun ile uyumlu hâle getirilmesi gerekecektir.

Kanun’un 9. Maddesinde yapılan değişiklik neticesinde GDPR hükümlerine paralel olarak yurt dışına veri aktarımında açık rıza genel olarak uygulanacak değil, istisnai hallerde uygulanacak bir hukuka uygunluk sebebi haline getirilmiştir. Kanun’un değişen 9. maddesi uyarınca, eski sistemden farklı olarak, yurt dışına veri aktarımında öncelikle yeterlilik kararı ile uygun güvencelerin varlığının sağlanması gerekecektir.  Bunların sağlanamaması halinde istisnai olarak arızi hallerde açık rıza ve Kanun’da düzenlenen diğer hukuka uygunluk sebepleri ile yurt dışına kişisel veri aktarımı yapılabilecektir. Bu sebeple, yurt dışına kişisel veri aktarımını açık rızaya dayalı olarak yapanların 1 Eylül 2024 tarihine kadar Kanun’un değişen hali ile uyumlu hale gelmeleri ve bu hususta gerekli şartları yerine getirmeleri, aydınlatma metinlerini de bu doğrultuda güncellemeleri gerekmektedir.

Kişisel verilerin yurt dışına aktarılmasının usul ve esaslarına dair Kurul tarafından taslak bir yönetmelik ilan edilmiş olup, kesinleşmesi ve Resmi Gazete’de yayımlanması üzerine bu konuda daha fazla bilgilendirme paylaşılabilecektir.

Saygılarımızla,

Bilgi ve sorularınız için:

info@ozel-law.com

ÖZEL Avukatlık Bürosu

İşbu bülten Türk hukukundaki gelişmeleri paylaşmak amacıyla 01/06/2024 tarihinde hazırlanmıştır. Bülten, hukuki bir görüş veya yönlendirme içermez; yalnızca genel bilgi için hazırlanmıştır.