A. Genel Açıklamalar
Kamuoyunda “8. YARGI PAKETİ” olarak bilinen 16.02.2024 tarihinde Türkiye Büyük Millet Meclisi’ne sunulan Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi 02.03.2024 tarihinde Türkiye Büyük Millet Meclisi Genel Kurulu’nda kabul edilmiş; bu değişiklikleri içeren 7499 SAYILI CEZA MUHAKEMESİ KANUNU İLE BAZI KANUNLARDA DEĞİŞİKLİK YAPILMASINA DAİR KANUN (‘Kanun’) 12.03.2024 tarihli 32487 sayılı Resmi Gazete’de yayınlanmıştır.
Bu çalışma açısından ilgili olduğu üzere 7499 sayılı Kanun madde 34 ila 36. Maddeleri 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (‘KVKK’) ilgili maddelerinde yapılan değişiklikler 01.06.2024 tarihi itibariyle yürürlüğe girecektir.
6698 sayılı Kanun özelinde bu denli önemli konulara ilişkin değişikliklerin yapılmasının en temel gerekçesi güncel değişiklikler özelinde Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (General Data Protection Regulation – ‘GDPR’) uygun bir Kanun metni oluşturulmasıdır. Nitekim 7499 sayılı Kanun ile GDPR arasındaki uyum artırılmakla özellikle uluslararası alanda faaliyet gösteren veri sorumluları temelli “yurt dışına veri aktarımı” işlemesine yönelik ciddi ve önemli revizyonlar yapılmıştır.
B. Değişikliklere İlişkin İnceleme
7499 sayılı Kanun ile özellikle 6698 Sayılı KVKK özelinde önemli değişiklikler barındırmaktadır. Değişikliklerin içerdiği uyum sürecini dikkate alan kanun koyucu yayım tarihi değil bahse konu maddeler özelinde 01.06.2024 tarihini yürürlük tarihi olarak belirlemiştir. İşbu çalışma ile 7499 sayılı Kanun ile getirilen 6698 sayılı KVKK değişiklikleri incelenecektir.
i. 6698 sayılı KVKK madde 6 değişikliği; GDPR madde 9 ile (Processing of Special Categories Of Personal Data) “Özel Nitelikli Kişisel Veriler” tanımlanmış ve ne şekilde işlenebileceği açıkça düzenlenmiştir. Bu noktada “Özel Nitelikli Kişisel Veriler nedir?” sorusunun cevabına yer vermek gerekir. Bu sorunun cevabı GDPR madde 9/1 ile; Irk veya etnik köken, siyasi görüş, dini veya felsefi inanç veya sendika üyeliğini ortaya koyan kişisel verilerin işlenmesi ile genetik verilerin, biyometrik verilerin, bir gerçek kişiyi benzersiz şekilde tanımlamak amacıyla, sağlıkla ilgili veriler veya gerçek kişiye ilişkin verilerin işlenmesi kişinin cinsel yaşamı veya cinsel yönelimi yasaktır, olarak düzenlenmiştir.
GDPR düzenlemelerine atıfla 6698 sayılı Kanun madde 6 revizyonlarında özel nitelikli kişisel verilen işlenmesinin yasak olması kuralı aynen geçerliliğin korumaktadır. Ancak 6698 sayılı KVKK madde 6/2 ile belirtilen “Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.” Düzenlemesi 7499 sayılı Kanun madde 33 ile kaldırılmıştır.
Bunun yanında özel nitelikli kişisel verilerin işlenmesi koşulları daha geniş kapsamı ile hükme bağlanmıştır. Özel nitelikli kişisel verilerin işlenmesi ancak;
a) İlgili kişinin açık rızasının olması,
b) Kanunlarda açıkça öngörülmesi,
c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
d) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
e) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
f) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
g) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
h) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
halinde mümkündür (7499 sayılı Kanun madde 33 -> 6698 sayılı KVKK madde 6/3).
Burada en önemli değişiklik istihdam noktasında söz konusudur. Zira GDPR madde 9/2(b) ile 6698 sayılı KVKK arasında istihdam süreçleri arasında kişisel verilerin işlenmesi konusu çelişki içermekte idi.
Bu düzenleme ile iş hukuku bazlı istihdam, iş sağlığı ve güvenliği süreçleri, sosyal güvenlik uygulamaları ve temel bir anayasal hak olan sosyal hakların kullanılması temelinde yükümlülüklerin ifası için zaruri olan “İstihdam” (“Employment”) düzenlemesine paralel iş hukuku süreçlerine ilişkin özel nitelikli kişisel verilerin işlenmesi hali revize edilmekle artık Kanun’da bulunmaktadır.
ii. 6698 Sayılı KVKK Madde 9 Değişikliği; İlgili madde “Kişisel Verilerin Yurt Dışına Aktarılması” düzenlemesine yer vermektedir. Değişiklik öncesinde 6698 sayılı KVKK madde 9 uyarınca kişisel verilerin yurt dışına aktarılması için;
a. Kişisel veri sahibinin “açık rızası”,
b. Yeterli korumanın var olduğu ve veri aktarımının yapılacağı ülkelerde kişisel veriler ve özel nitelikli kişisel veriler için yasal olarak öngörülen işleme koşullarından birinin bulunması,
c. Yeterli korumanın var olmadığı ülkeler açısından ise kişisel veri aktarımı söz konusu olacak ise gerek ilgili yabancı ülkede ve gerekse Türkiye’de veri sorumlusu olan kişilerin bahse konu kişisel veriler açısından yeterli ve gerekli korumayı sağlayacaklarına ilişkin Kurul’un imzasının yer aldığı taahhüdü vermiş olması,
gerekli idi. Değişiklik ile kişisel veri sahibinin “açık rızası” koşulunun varlığı sabit kalmakla yurt dışına veri aktarımı için;
a) Yeterlilik kararı,
b) Uygun güvenceler,
c) Hukuka aykırı aktarımı engelleyecek arızi yöntemler,
Hem veri sorumluları hem veri işleyenler için düzenlenmiştir.
Yeterlilik Kararı; Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir (7499 Sayılı Kanun madde 34 KVKK madde 9/2).
Yeterlilik kararı verilmesi aşamasında Kurul tarafından;
I. Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
II. Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
III. Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
IV. Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
V. Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
VI. Türkiye’nin taraf olduğu uluslararası sözleşmeler.
Dikkate alınacaktır (7499 Sayılı Kanun madde 34 KVKK madde 9/3).
Uygun Güvenceler; Yeterlilik kararını bulunmaması halinde ise kişisel veriler ancak 6698 sayılı KVKK madde 5 ve madde 6 ile belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir (7499 Sayılı Kanun madde 34 KVKK madde 9/4);
I. Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
II. Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
III. Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
IV. Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.
Hukuka Aykırı Aktarımı Engelleyecek Arızi Yöntemler; Kişisel verilerin aktarımının yapılacağı ülkeye ilişkin yeterlilik kararı yok ise ve 6698 sayılı KVKK madde 9/4 ile belirtilen güvencelerden birini sağlayamaz ise veri sorumluları ve veri işleyenler arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir (7499 Sayılı Kanun madde 34 KVKK madde 9/6);
• İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
• Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
• Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
• Aktarımın üstün bir kamu yararı için zorunlu olması.
• Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
• Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması,
• Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.
iii. İdari Düzenlemelere İlişkin Değişiklikler; 01.06.2024 tarihi itibariyle yürürlük bulacak şekilde 7499 sayılı Kanun gereği Kurul tarafından verilen idari para cezaları için artık Sulh Ceza Hakimliklerine itiraz süreci İdare Mahkemeleri nezdinde dava açılması yolu olarak düzenlenmiştir.
C. Değerlendirme
Yapılan tüm bu değişiklikler tümüyle 6698 sayılı KVKK dayanak sözleşmesi GDPR düzenlemelerine uyum sürecinin işletilmesi ve uygulama alanında aktif kullanımının kolaylaştırılması için çok önemli bir adımdır.
KVKK süreçleri uygulama açısından halen büyük bir problematik yaratmaktadır. “Açık rıza” kavramı net uygulanmadığından çokça ihlal söz konusu olmakta ve özellikle yurt dışı veri işleme noktasında verilerin uluslararası alanda ihlale açık hale gelmesi mevzuatta yazan kurallara rağmen uygulamada büyük bir sorundur.
