Kişisel Verileri Korumada Yeni Dönem

Avukat Görkem Gökçe, kişisel verilerin korunması konusunda yapılan yeni düzenlemelerle ilgili bilgi verdi. Gökçe, konuya ilişkin şu değerlendirmeleri yaptı:

2016’da yayımlandığı günden bu yana gerek biz hukukçuların gerekse kişisel verilerle temas eden şirketlerin gündeminden düşmeyen Kişisel Verilerin Korunması Kanunu’nda (KVKK) kritik değişiklikler gerçekleşiyor.

12 Mart 2024’te kamuoyunda 8. Yargı Paketi olarak da bilinen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Resmi Gazete’de yayımlandı. Söz konusu yargı paketinde yer alan değişiklikler özellikle KVKK’da uzun süredir tartışmalı olan yurt dışına kişisel veri aktarımı ve özel nitelikli kişisel verilerin işlenme şartlarına dair önemli değişiklikler getiriyor.

GDPR İLE PARALEL OLACAK DÜZENLEMELER GELİYOR

Özellikle verilerin yurt dışına aktarımı için benimsenecek yeni sistem, Avrupa Birliği’nde yürürlükte olan General Data Protection Regulation (GDPR) sistematiği ile büyük ölçüde uyumlu. Uzun yıllardır hem akademide hem uygulamada hukukçuların ve esasında kişisel veri ile temas eden herkesin beklentisi, GDPR ile daha paralel bir düzenleme getirilmesiydi. Mevcut düzenlemeyle getirilen değişiklikleri karşılaştırdığımda, tamamen farklı bir bakış açısı ve sistematik benimsendiği aşikar.

Bu değişikliklerin özellikle yabancı yatırımcılar açısından da yakından takip edildiğini düşünüyorum. GDPR sistematiğine daha yakın bir uygulamanın benimsenmesi, yabancı yatırımcıların Türkiye’ye olan güvenini artırmasının yanı sıra, eski düzenlemedeki açık rıza sistematiği ile tıkanan veri aktarımı konusunu da çözüme kavuşturması elbette yabancı yatırımcıları da teşvik edecektir.

ÖZEL NİTELİKLİ KİŞİSEL VERİLERDEKİ “AÇIK RIZA” KRİZİ ÇÖZÜLÜYOR

Yeni değişikliklerde de eski düzenlemede olduğu gibi sağlık, cinsel hayat, sendika ve vakıf üyeliği bilgileri ile biyometrik veriler özel nitelikli kişisel veriler olarak tanımlanıyor. Bu alandaki en önemli yenilik, pratik dünyada sıkça karşılaşılan istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki veri işleme faaliyetleri için getirilen düzenleme. Mevcut düzenleme ”açık rıza”da kilitleniyordu. Yeni değişiklikler ile gerekli şartlar sağlanırsa, bu sayılan alanlardaki hukuki yükümlülüklerin yerine getirilmesi için verilerin işlenmesi mümkün olabilecek. Böylece özel nitelikli kişisel verilerin hukuki işleme sebepleri genişleyecek, pratik dünyaya ve günümüz akışına daha uygun hale gelmiş oldu.

“KİŞİSEL VERİLERİN YURT DIŞINA AKTARILMASI SİL BAŞTAN DÜZENLENİYOR

Yeni değişikliklerle birlikte KVKK, kişisel verilerin yurt dışına aktarılması için tamamen yeni ve önceki düzenlemelerle farklı bir sistematik benimsiyor. Mevcut sistemde Kişisel Verileri Koruma Kurulu tarafından aktarım yapılacak ülke hakkında yeterlilik kararı bulunması, yeterlilik kararı bulunmaması halinde veri sorumluları arasında yeterli korumanın yazılı olarak taahhüt edilmesi ve kuruldan bunun için izin alınması ile ilgili kişilerden açık rıza alınıyordu. Ancak bugüne kadar kurul, herhangi bir ülke hakkında yeterlilik kararı vermedi. Kurula ulaşan 80’i geçkin taahhütname başvurusundan ise yalnızca 8’ine izin verdi. Böyle olunca yine işleyen tek sistem, ilgili kişilerden açık rıza alınmasıydı.

Yeni değişiklikler ile artık yurt dışına veri aktarımı için kademeli bir sistem öngörülüyor ve pek çok kişinin beklediği gibi açık rıza çıkmazından sıyrılmaya çalışılıyor. Buna göre; artık üç kademeli ve alternatifli bir aktarım rejimi olacak: (i) Yeterlilik kararına dayalı aktarım, (ii) uygun güvencelere dayalı aktarım, (iii) arızi durumlara dayalı aktarım.

En kritik yeniliklerden biri de özellikle GDPR’da uzun süredir uygulanan Bağlayıcı Şirket Kuralları (Binding Corporate Rules- BCR) ve Standart Sözleşme Düzenlemeleri’nin (Standart Contractual Clauses- SCC) hayatımıza girecek olması. Bu şartlar, güvencelere dayalı yurt dışına veri aktarım şartları olarak sıralanıyor.

YURT DIŞINA AKTARIMDA KULLANILACAK STANDART SÖZLEŞMELER 5 İŞ GÜNÜ İÇİNDE KVK KURUMU’NA BİLDİRİLECEK VE BU YENİ BİR YAPTIRIM TÜRÜ OLARAK SINIFLANACAK

GDPR düzenlemelerine göre ayrışan bir konu ise; veri sorumlusu veya veri işleyenin, ilgili standart sözleşmeyi 5 iş günü içinde KVK Kurumu’na bildirmekle yükümlü olması. Aksi halde, 50.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası düzenlenebileceği öngörülüyor.

İDARİ PARA CEZALARINA KARŞI İDARE MAHKEMESİNE GİDİLEBİLECEK

Yeni değişikliklerle, kurul tarafından verilen idari para cezalarına karşı idare mahkemelerine başvurulması yolunu açıyor. Mevcut düzenlemeler uyarınca, kurulun idari para cezalarına karşı sulh ceza hakimliğine başvurulabiliyor, kalan kararlara ilişkin ise idari yargıya başvurulabiliyor. Değişikliklerle birlikte KVKK uyarınca, idari para cezaları için de idari yargı nezdinde daha kapsamlı hukuki tartışma ortamları söz konusu olabilecek.

1 EYLÜL 2024’E KADAR TÜM UYUM ÇALIŞMALARI GÖZDEN GEÇİRİLMELİ

Değişiklikler için, iki aşamalı bir geçiş öngörüyor:

Açık rızaya dayalı yurt dışına veri aktarımı düzenlemeleri 1 Eylül 2024’e kadar uygulanacak, bu tarihten sonra açık rızaya dayalı yurt dışına sürekli kişisel veri aktarımı gerçekleştirilemeyecek.

- Kalan düzenlemeler, 1 Haziran 2024’te yürürlüğe girecek.

UYUMLULUK İÇİN NE YAPMALI?

KVKK’nın uygulanmasında pratikte yaşanan ve bir avukat olarak da en çok destek talebi aldığımız sorunlardan biri yurt dışına veri aktarımıydı. Yeni değişiklikler, buna sil baştan düzenlemeler öngörüyor. Veri sorumluları ve veri işleyenlerin bu esaslı değişiklikleri bir an önce içselleştirmesi, metinlerini ve aksiyonlarını yeni düzenlemelere göre tekrar kurgulanması gerekecek. Özellikle açık rıza ile ilgili yeni kurgular benimsendiği için tüm süreçler bu perspektifle gözden geçirilmeli.

İlgili değişiklikler, her ne kadar birkaç maddede değişiklik getiriyor olsa da; kişisel veri işleme süreçlerinin esasında büyük değişiklikler gerektirecek.

Bu değişiklikler ve ikincil düzenlemelerin de yayımlanmasıyla kapsamlı bir KVKK uyum çalışması yürütülmesi, var olan projelerin ise bu değişiklikler kapsamında güncellenmesi gerekeceğini düşünüyorum.

Son olarak gündemde kendine sıkça yer “Paypal ve Applepay” gibi uygulamalar için de bu değişiklikleri değerlendirmek isterim. Paypal ve Applepay gibi kuruluşlara yönelik ödeme mevzuatından kaynaklı birçok yükümlülük ve kısıtlama var. Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine ilişkin Tebliğ m. 21 uyarınca ödeme ve elektronik para kuruluşlarının "birincil ve ikincil sistemleri ile veri yedekleme merkezlerini yurt içinde bulundurmaları” zorunludur. Bu sebeple, Paypal ve Applepay gibi ödeme ve elektronik para kuruluşlarının birincil ve ikincil sistemler ile veri yedekleme merkezleri burada olması gerekli. Bunun temel sebebi de veri lokalizasyonunu sağlayabilmek. Başka deyişle, ödeme ve elektronik para kuruluşlarının verilerini Türkiye'de tutma zorunluluğu asıl olarak KVKK'dan kaynaklanmıyor, ödeme ve para kuruluşları ile ilgili mevzuattan kaynaklanıyor. Bu sebeple de yasakların kalktığını söylemek doğru bir değerlendirme değil. Bununla birlikte, Yatırım Ortamını İyileştirme Koordinasyon Kurulu (YOİKK) 2024 yılı Eylem Planı kapsamında bu konuya ilişkin de özel hedef var. Söz konusu Eylem Planı’nda; KVKK dışındaki sektörel düzenlemelerde parçalı bir şekilde yer alan veri lokalizasyonuna yönelik hükümlerin “makul denge” kurulması ilkesi doğrultusunda gözden geçirilmesinin hedeflendiğini de belirtmek isterim.

KVKK’daki değişikliklerle başlayacak uyum döneminin herkes için verimli olmasını umuyoruz. “