Kemal Kumkumoğlu
Selin Çetin Kumkumoğlu
Geçtiğimiz hafta, Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi Türkiye Büyük Millet Meclisi Adalet Komisyonuna sunuldu. Kanun teklifi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK” veya “Kanun”) ile ilgili de önemli değişiklik önerileri içermektedir. Söz konusu değişiklik önerilerinin ele aldığı hususlar, uzun zamandır Kanunun uygulanmasında yaşanan zorluklara ilişkin olarak doktrinde ve uygulamada tartışılmaktaydı. Teklifin Meclis’ten olduğu gibi geçmesi durumunda getirilecek olan değişikliklere aşağıda kısaca yer vermekteyiz:
Özel Nitelikli Kişisel Verilerin İşlenme Şartlarına Yönelik Değişiklik Önerisi (KVKK Madde 6)
Özel nitelikli kişisel verilerin işlenme şartlarını düzenleyen KVKK madde 6, mevcut haliyle sağlık ve cinsel hayat dışındaki kişisel verilerin işlenmesini kanunlarda öngörülme veya kişinin açık rızasının bulunması şartına bağlamaktadır. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ilgili kişinin açık rızası dışında kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilmektedir. Değişiklik önerileri ile, uygulamadaki ihtiyaçlar ve Avrupa Birliği Genel Veri Koruma Tüzüğünün yaklaşımı gözetilerek, değişiklik önerisi ile özel nitelikli kişisel verilerin işlenme şartlarının kapsamının genişletilmesi öngörülmektedir.
Öncelikle, maddede kural olarak yer alan özel nitelikli kişisel verilerin ilgili kişinin açık rızası dışında işlenmesinin yasaklanması hükmü korunmaktadır. Bununla birlikte, özel nitelikli kişisel verilerin açık rıza dışında işlenebileceği hallerde genişlemeye gidilmektedir. Buna göre, aşağıdaki şartlar altında açık rıza olmaksızın özel nitelikli kişisel veriler işlenebilecektir:
Kanunlarda açıkça öngörülen hallerde. (Örneğin, Adli Sicil Kanunu, Polis Vazife ve Salahiyeti Kanunu)
Fiili imkânsızlık hali nedeniyle açık rızanın açıklanamayacak olması veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması hallerinde. (Örneğin, bilinç kaybı nedeniyle rızasını açıklayamayan kişinin hayatının veya beden bütünlüğünün korunması için kan grubu veya hastalıklarına yönelik verilerin işlenmesi)
Özel nitelikli kişisel verilerin ilgili kişi tarafından alenileştirildiği hallerde, alenileştirilme amacına uygun olarak işlenmesi kaydıyla. (Örneğin, acil durumlar için kullanılmak üzere herkesçe erişilebilir alanlarda kan grubu bilgisinin paylaşılması ve bunun paylaşılma amacına uygun olarak işlenmesi)
Bir hakkın tesisi, kullanılması veya korunması için zorunlu olan hallerde. (Örneğin, iş sözleşmesinden sonra muhtemel davalarda savunma hakkının kullanılabilmesi amacıyla eski çalışanın sağlık verilerinin saklanması.)
İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik veya sosyal hizmetler ile sosyal yardım alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorlu olduğu hallerde (Örneğin, İş Kanunu kapsamında işverenlerin engelli veya hükümlü çalıştırma yükümlülüğü uyarınca sağlık ve ceza mahkumiyetine ilişkin verileri işlemesi.)
Siyasi, felsefi, dini ve sendikal amaçlarla kurulan vakıf, dernek veya diğer kâr amacı gütmeyen kuruluşun/oluşumun mevcut veya eski üyeleri ve kuruluş/oluşum ile sürekli olarak temas halindeki kişilerin özel nitelikli kişisel verilerini kuruluş amacına ve tabi oldukları mevzuata uygun, faaliyet alanlarıyla sınırlı olarak işlediği hallerde, üçüncü kişilere aktarmamak kaydıyla (Örneğin, mevcut veya eski üyeler ile bağış toplamak için temas kurulması).
Özel nitelikli kişisel verilerin işlemesine yönelik olarak “Kişisel Verileri Koruma Kurulu’nun belirlediği yeterli önlemlerin alınması”na ilişkin hükümler ise korunmaktadır.
Kişisel Verilerin Yurt Dışına Aktarılmasına Yönelik Değişiklik Önerisi (KVKK Madde 9)
Kişisel verilerin yurtdışına aktarılmasına ilişkin şartları düzenleyen KVKK madde dokuzun mevcut halinde kişisel veriler, kural olarak, ilgili kişilerin açık rızası ile yurtdışına aktarılmaktadır. Öte yandan, şayet Kanunun beşinci maddesinin ikinci fıkrasındaki veya altıncı maddesinin üçüncü fıkrasındaki şartlardan biri mevcutsa ve Kişisel Verileri Koruma Kurulu tarafından kişisel verilerinin aktarılacağı ülke hakkında yeterli koruma sağlandığına ilişkin karar verilmişse, kişisel veriler yurt dışına açık rıza olmaksızın aktarılabilmektedir. Bununla birlikte, hakkında yeterlilik kararı olmayan bir ülkeye yapılacak aktarımda, Türkiye’deki ve aktarım yapılacak ülkedeki veri sorumlularının imzaladıkları taahhütname ile yeterli korumayı garanti etmesi ve Kurul’un bu taahhütnameye onay vermesi halinde de açık rıza olmaksızın kişisel veriler yurt dışına aktarılabilmektedir.
Maddenin değişiklik gerekçesinde, yurt dışına kişisel veri aktarımında yaşanan zorluklar, özellikle aktarımın kişinin açık rızasına bağlı hale gelmesinin uygulamada iş akışı ve yönetiminde büyük sorunlara yol açması, çoğu yurt dışında bulunan bulut tabanlı uygulamaların kullanımının kısıtlanması ve ülkeye yapılacak yatırımların olumsuz etkilenmesi sebepleri vurgulanmaktadır. Bu doğrultuda, Avrupa Birliği Genel Veri Koruma Tüzüğünün yaklaşımı dikkate alınarak maddede değişiklikler öngörülmektedir. Buna göre, kişisel verilerin açık rıza dışında yurt dışına aktarılabilmesi için aşağıdaki şartların karşılanması gerekecektir:
Kanunun beşinci maddesinin ikinci fıkrasındaki veya altıncı maddesinin üçüncü fıkrasındaki şartlardan birinin mevcut olması ve kişisel verinin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı verilmiş olması,
Yeterlilik kararı olmayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörlere kişisel veri aktarımında ise, Kanunun beşinci maddesinin ikinci fıkrasındaki veya altıncı maddesinin üçüncü fıkrasındaki şartlardan birinin mevcut olması ve ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkanının sağlanması şartıyla, uygun güvencelerden birinin sağlanması.
Uygun güvencelerin neler olacağı da değişiklik önerisinde sıralanmaktadır. Buna göre, aşağıdaki durumlardan birinin varlığı halinde uygun güvencelerin sağlandığı kabul edilecektir:
Karşılıklı yapılacak faaliyetlerin gerektirdiği kişisel verilerin aktarımında, yurtdışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğinde mesleki kuruluşları arasındaki uluslararası sözleşme niteliğinde olmayan anlaşmaların varlığı ve Kurul’un izninin olması,
Grup şirketleri arasında yapılacak yurt dışı aktarımı bakımından Kanunun beşinci maddesinin ikinci fıkrasındaki veya altıncı maddesinin üçüncü fıkrasındaki şartlardan biri mevcut olması ve Kurul’un onayladığı başlayıcı şirket kurallarının olması
Kurul tarafından ilan edilen standart sözleşmenin imzalanması ve beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kurul’a bildirilmesi (Veri sorumlusu veya veri işleyeninin bildirimi yerine getirmemesi halinde yine değişiklik önerileri içerisinde yer alan bir madde ile idari para cezası uygulanması öngörülmektedir.)
Yeterli korumanın yer aldığı taahhütnamenin imzalanması ve Kurul’un izninin alınması.
Şayet kişisel verilerin aktarılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı yoksa ve yukarı sayılan güvencelerden biri de sağlanamamışsa, istisnai durumlarda, süreklilik arz etmeyen (arızi) şekilde yurt dışına kişisel veri aktarımı yapılabilmesi de değişiklik ile öngörülmektedir. Örneğin, Türkiye’deki bir şirketin yurt dışındaki potansiyel olarak ticari ilişki içinde olacağı bir şirkete irtibat için çalışanlarının kişisel verisini aktarması.
Değişiklik teklifi, yeterli koruma kararı alınmasının usulünü de öngörmektedir. Bu kapsamda, Kurul’un yeterlilik kararını verirken dikkate alacağı ölçütlere detaylı biçimde yer verilmektedir. Ancak bu ölçütler sınırlı sayıda olmayıp Kurul gerekli gördüğü başka hususları da dikkate alabilecektir. Kurul yeterlilik kararını dört yılda bir değerlendirecektir. Değerlendirmeleri sonucunda yeterlilik kararını değiştirebilir, kaldırabilir veya askıya alabilir. Kurul dört yıllık süre dolmadan da yeterlilik kararını gözden geçirebilir. Öte yandan dört yıllık sürenin dolmasına rağmen yeterlilik kararı yeniden değerlendirilmediği takdirde karar geçerliliğini koruyacaktır. Kurul aynı zamanda ihtiyaç duyması halinde ilgili kurum ve kuruluşlardan yeterlilik kararını belirlerken görüş alabilecektir.
Değişiklik teklifi, ayrıca madde dokuz bakımından geçici bir madde de önermektedir. Bu kapsamda, madde dokuzun birinci fıkrasının mevcut hükmü (Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz) ile maddede yapılan değişiklik hükümlerinin üç ay süre ile birlikte uygulanması söz konusudur. Görülen o ki, bu geçici hüküm ile değişikliğe uyum sürecinde önceki “açık rıza” uygulaması bakımından bir karmaşıklığa yol açılmaması amaçlanmaktadır.
Son olarak, Kanunun mevcut haliyle Kurul’un verdiği idari para cezalarına karşı itirazlar sulh ceza hakimliklerine yapılabilirken, değişiklik teklifi ile bu konuda idare mahkemelerine dava açılması yolu öngörülmektedir. Böylece sulh ceza hakimliklerinin yapısal sorun teşkil eden ve yetersiz incelemeye dayanan kararlarının yerini idari yargı alacak ve temel haklara ilişkin verilecek kişisel verilerin korunması kararları bakımından usulî güvencelerin artırılması söz konusu olacaktır.
Gözler Türkiye Büyük Millet Meclisi’ndeyken…
KVKK’nın yürürlüğe girmesinden bu yana, sorunlu yapısı dolayısıyla uygulamada uyumluluğun sağlanmasına yönelik yarattığı zorluklar dile getirilmekteydi. Uzun zamandır beklenen, Kanunda değişiklik yapılmasıyla ilgili çalışmaların nihayete erdirilmesi umut verici olsa da öncelikle özel nitelikli kişisel verilerin dolaşımının bu denli kolaylaştırılması kişisel verilerin korunmasının içselleştirilmediği ortamlarda bireyler için büyük tehditler yaratabilecektir. Zira özel nitelikli kişisel verilerin öğrenilmesi halinde ilgili kişi hakkında ayrımcılık yapılmasına veya mağduriyete neden olabilecek nitelikteki veriler olduğu unutulmamalıdır.
Aynı doğrultuda, yurtdışına kişisel veri aktarımı önündeki zorlukların kaldırılması pek çok sektör açısından önemli bir adım olacaktır. Ancak bu zamana kadar açık rıza dışındaki yurtdışına aktarım şartlarının uygulanamaz hale gelmesi veya güçlülükle uygulanabilmesindeki sebepler de göz önünde bulundurulmalıdır. Buna istinaden, yukarıda detayları belirtilen olası değişikliğin hayata geçmesi halinde, Kurul tarafından ivedilikle yeterli koruma sağlayan ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında kararların yayınlaması ve uygun güvenceler arasında sayılan standart sözleşmenin duyurulması, faaliyetleri kapsamında yurt dışına kişisel veri aktarımı yapan aktörler için önem arz edecektir.
Tüm bunlara paralel olarak, özel nitelikli kişisel verilerin işlenmesinde ve kişisel verilerin yurt dışına aktarılmasında koşul ve güvencelerin bu denli gevşetilmesi, Kanuna uyumun sağlanması ve temel hakların korunması bakımından Kişisel Verileri Koruma Kurumu’nun üzerindeki yükü ve sorumluluğu şüphesiz artıracaktır.