2016’da yayımlandığı günden bu yana gerek biz hukukçuların gerekse kişisel verilerle temas eden şirketlerin gündeminden düşmeyen Kişisel Verilerin Korunması Kanunu’nda (KVKK) kritik değişiklikler gerçekleşiyor.
KVKK, kişisel verilerin işlenmesine dair veri sorumlularının uyması gereken yükümlülükleri düzenliyor. 16 Şubat 2024’te Adalet Komisyonu’na iletilen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (Kanun Teklifi), KVKK’da uzun süredir tartışmalı olan yurt dışına kişisel veri aktarımı ve özel nitelikli kişisel verilerin işlenme şartlarına dair önemli değişiklikler getiriyor.
Kanun Teklifi, 8. Yargı Paketi olarak da anılıyor. 21 Şubat 2024’te 8. Yargı Paketi’nin Türkiye Büyük Millet Meclisi Adalet Komisyonu’nda görüşmeleri tamamlandı ve Teklif’teki KVKK değişiklikleri aynen kabul edildi. Kanun Teklifi’nin yakın zamanda Genel Kurul’da da görüşülmesi bekleniyor.
Kanun Teklifi’nin bağlantısına buradan ulaşılabilir:
GDPR ile Paralel Olacak Düzenlemeler Geliyor
Özellikle verilerin yurt dışına aktarımı için benimsenecek yeni sistem, Avrupa Birliği’nde yürürlükte olan General Data Protection Regulation (GPDR) sistematiği ile büyük ölçüde uyumlu. Uzun yıllardır hem akademide hem uygulamada hukukçuların ve esasında kişisel veri ile temas eden herkesin beklentisi, GDPR ile daha paralel bir düzenleme getirilmesiydi. Mevcut düzenlemeyle getirilen değişiklikleri karşılaştırdığımda, tamamen farklı bir bakış açısı ve sistematik benimsendiği aşikar.
Özel Nitelikli Kişisel Verilerdeki “Açık Rıza” Krizi Çözülüyor
Mevcut düzenlemede de Kanun Teklifi’nde de sağlık, cinsel hayat, sendika ve vakıf üyeliği bilgileri ile biyometrik veriler özel nitelikli kişisel veriler olarak tanımlanıyor. Bu alandaki en önemli yenilik, pratik dünyada sıkça karşılaşılan istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki veri işleme faaliyetleri için getirilen düzenleme. Mevcut düzenleme ”açık rıza”da kilitleniyordu. Kanun Teklifi ile gerekli şartlar sağlanırsa, bu sayılan alanlardaki hukuki yükümlülüklerin yerine getirilmesi için verilerin işlenmesi mümkün olabilecek. Böylece özel nitelikli kişisel verilerin hukuki işleme sebepleri genişleyecek, pratik dünyaya ve günümüz akışına daha uygun hale gelmiş oldu.
Kişisel Verilerin Yurt Dışına Aktarılması Sil Baştan Düzenleniyor
Kanun Teklifi, kişisel verilerin yurt dışına aktarılması için tamamen yeni ve önceki düzenlemelerle farklı bir sistematik benimsiyor. Mevcut sistemde Kişisel Verileri Koruma Kurulu (Kurul) tarafından aktarım yapılacak ülke hakkında yeterlilik kararı bulunması, yeterlilik kararı bulunmaması halinde veri sorumluları arasında yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’dan bunun için izin alınması ile ilgili kişilerden açık rıza alınıyordu. Ancak bugüne kadar Kurul, herhangi bir ülke hakkında yeterlilik kararı vermedi. Kurul’a ulaşan 80’i geçkin taahhütname başvurusundan ise yalnızca 8’ine izin verdi. Böyle olunca yine işleyen tek sistem, ilgili kişilerden açık rıza alınmasıydı.
Kanun Teklifi ile artık yurt dışına veri aktarımı için kademeli bir sistem öngörülüyor ve pek çok kişinin beklediği gibi açık rıza çıkmazından sıyrılmaya çalışılıyor. Buna göre; artık üç kademeli ve alternatifli bir aktarım rejimi olacak: Yeterlilik kararına dayalı aktarım, uygun güvencelere dayalı aktarım, arızi durumlara dayalı aktarım.
En kritik yeniliklerden biri de özellikle GDPR’da uzun süredir uygulanan Bağlayıcı Şirket Kuralları (Binding Corporate Rules- BCR) ve Standart Sözleşme Düzenlemeleri’ne (Standart Contractual Clauses- SCC) Kanun Teklifi’nde de yer verilmesi. Bu şartlar, güvencelere dayalı yurt dışına veri aktarım şartları olarak sıralanıyor.
Böylece Kanun Teklifi’nin aynen kabul edilmesiyle, yurt dışına veri aktarımı düzenlemeleri bakımından KVKK çok büyük ölçüde GDPR sistematiğine uyumlu hale geldi.
Yurt Dışına Aktarımda Kullanılacak Standart Sözleşmeler 5 İş Günü İçinde Kurul’a Bildirilecek ve Bu Yeni Bir Yaptırım Türü Olarak Sınıflanacak
GDPR düzenlemelerine göre ayrışan bir konu ise; veri sorumlusu veya veri işleyenin, ilgili standart sözleşmeyi 5 iş günü içinde Kurul’a bildirmekle yükümlü olması. Aksi halde, Kanun Teklifi’nde 50.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası düzenlenebileceği öngörülüyor.
İdari Para Cezalarına Karşı İdare Mahkemesine Gidilebilecek
Kanun Teklifi, Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerine başvurulması yolunu açıyor. Mevcut düzenlemeler uyarınca, Kurul’un idari para cezalarına karşı sulh ceza hakimliğine başvurulabiliyor, kalan kararlara ilişkin ise idari yargıya başvurulabiliyor. Kanun Teklifi yasalaşırsa, idari para cezaları için de idari yargı nezdinde daha kapsamlı hukuki tartışma ortamları söz konusu olabilecek.
1 Eylül 2024’e Kadar Tüm Uyum Çalışmaları Gözden Geçirilmeli
Kanun Teklifi, iki aşamalı bir geçiş öngörüyor:
• Açık rızaya dayalı yurt dışına veri aktarımı düzenlemeleri 1 Eylül 2024’e kadar uygulanacak, bu tarihten sonra açık rızaya dayalı yurt dışına sürekli kişisel veri aktarımı gerçekleştirilemeyecek.
• Kalan düzenlemeler, 1 Haziran 2024’te yürürlüğe girecek.
Uyumluluk İçin Ne Yapmalı?
KVKK’nın uygulanmasında pratikte yaşanan ve bir avukat olarak da en çok destek talebi aldığımız sorunlardan biri yurt dışına veri aktarımıydı. Kanun Teklifi, buna sil baştan düzenlemeler öngörüyor. Veri sorumluları ve veri işleyenlerin bu esaslı değişiklikleri bir an önce içselleştirmesi, metinlerini ve aksiyonlarını yeni düzenlemelere göre tekrar kurgulanması gerekecek. Özellikle açık rıza ile ilgili yeni kurgular benimsendiği için tüm süreçler bu perspektifle gözden geçirilmeli.
İlgili değişiklikler, her ne kadar birkaç maddede değişiklik getiriyor olsa da kişisel veri işleme süreçlerinin esasında büyük değişiklikler gerektirecek.
