Kişisel Verilerin Korunması Kanunu’nda (KVKK) Çığır Açacak Değişiklikler!
2016’da yayımlandığı günden bu yana gerek biz hukukçuların gerekse kişisel verilerle temas eden şirketlerin gündeminden düşmeyen Kişisel Verilerin Korunması Kanunu’nda (KVKK) kritik değişiklikler gerçekleşiyor.
KVKK, kişisel verilerin işlenmesine dair veri sorumlularının uyması gereken yükümlülükleri düzenliyor. 16 Şubat 2024’te Adalet Komisyonu’na iletilen Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi (Kanun Teklifi), KVKK’da uzun süredir tartışmalı olan yurt dışına kişisel veri aktarımı ve özel nitelikli kişisel verilerin işlenme şartlarına dair önemli değişiklikler getiriyor.
Kanun Teklifi, 8. Yargı Paketi olarak da anılıyor. 21 Şubat 2024’te 8. Yargı Paketi’nin Türkiye Büyük Millet MeclisiAdalet Komisyonu’nda görüşmeleri tamamlandı veTeklif’teki KVKK değişiklikleri aynen kabul edildi. Kanun Teklifi’nin yakın zamanda Genel Kurul’da da görüşülmesibekleniyor.
Kanun Teklifi’nin bağlantısına buradan ulaşılabilir:
Özellikle verilerin yurt dışına aktarımı için benimsenecek yeni sistem, Avrupa Birliği’nde yürürlükte olan General Data Protection Regulation (GPDR) sistematiği ile büyük ölçüde uyumlu. Uzun yıllardır hem akademide hem uygulamada hukukçuların ve esasında kişisel veri ile temas eden herkesin beklentisi, GDPR ile daha paralel bir düzenleme getirilmesiydi. Mevcut düzenlemeyle getirilen değişiklikleri karşılaştırdığımda, tamamen farklı bir bakış açısı ve sistematik benimsendiği aşikar.
Mevcut düzenlemede de Kanun Teklifi’nde de sağlık, cinsel hayat, sendika ve vakıf üyeliği bilgileri ile biyometrik veriler özel nitelikli kişisel veriler olarak tanımlanıyor. Bu alandaki en önemli yenilik, pratik dünyada sıkça karşılaşılan istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki veri işleme faaliyetleri için getirilen düzenleme. Mevcut düzenleme ”açık rıza”da kilitleniyordu. Kanun Teklifi ile gerekli şartlar sağlanırsa,bu sayılan alanlardaki hukuki yükümlülüklerin yerine getirilmesi için verilerin işlenmesi mümkün olabilecek.Böylece özel nitelikli kişisel verilerin hukuki işleme sebepleri genişleyecek, pratik dünyaya ve günümüz akışına daha uygun hale gelmiş oldu.
Kanun Teklifi, kişisel verilerin yurt dışına aktarılması için tamamen yeni ve önceki düzenlemelerle farklı bir sistematik benimsiyor. Mevcut sistemde Kişisel Verileri Koruma Kurulu (Kurul) tarafından aktarım yapılacak ülke hakkında yeterlilik kararı bulunması, yeterlilik kararı bulunmaması halinde veri sorumluları arasında yeterli korumanın yazılı olarak taahhüt edilmesi ve Kurul’dan bunun için izin alınması ile ilgili kişilerden açık rıza alınıyordu. Ancak bugüne kadar Kurul, herhangi bir ülke hakkında yeterlilik kararı vermedi. Kurul’a ulaşan 80’i geçkin taahhütname başvurusundan ise yalnızca 8’ine izin verdi. Böyle olunca yine işleyen tek sistem, ilgili kişilerden açık rıza alınmasıydı.
Kanun Teklifi ile artık yurt dışına veri aktarımı için kademeli bir sistem öngörülüyor ve pek çok kişinin beklediği gibi açık rıza çıkmazından sıyrılmayaçalışılıyor. Buna göre; artık üç kademeli ve alternatifli bir aktarım rejimi olacak: (i) Yeterlilik kararına dayalı aktarım, (ii) uygun güvencelere dayalı aktarım, (iii) arızi durumlara dayalı aktarım.
En kritik yeniliklerden biri de özellikle GDPR’da uzun süredir uygulanan Bağlayıcı Şirket Kuralları (Binding Corporate Rules- BCR) ve Standart Sözleşme Düzenlemeleri’ne (Standart Contractual Clauses- SCC) Kanun Teklifi’nde de yer verilmesi. Bu şartlar, güvencelere dayalı yurt dışına veri aktarım şartları olarak sıralanıyor.
Böylece Kanun Teklifi’nin aynen kabul edilmesiyle, yurtdışına veri aktarımı düzenlemeleri bakımından KVKKçok büyük ölçüde GDPR sistematiğine uyumlu hale geldi.
GDPR düzenlemelerine göre ayrışan bir konu ise; veri sorumlusu veya veri işleyenin, ilgili standart sözleşmeyi 5 iş günü içinde Kurul’a bildirmekle yükümlü olması. Aksi halde, Kanun Teklifi’nde 50.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası düzenlenebileceği öngörülüyor.
Kanun Teklifi, Kurul tarafından verilen idari para cezalarına karşı idare mahkemelerine başvurulması yolunu açıyor. Mevcut düzenlemeleruyarınca, Kurul’un idari para cezalarına karşı sulh ceza hakimliğinebaşvurulabiliyor, kalan kararlara ilişkin ise idari yargıya başvurulabiliyor. Kanun Teklifi yasalaşırsa, idari para cezaları için de idari yargı nezdinde daha kapsamlı hukuki tartışma ortamları söz konusu olabilecek.
Kanun Teklifi, iki aşamalı bir geçiş öngörüyor:
KVKK’nın uygulanmasında pratikte yaşanan ve bir avukat olarak da en çok destek talebi aldığımızsorunlardan biri yurt dışına veri aktarımıydı. Kanun Teklifi, buna sil baştan düzenlemeler öngörüyor. Veri sorumluları ve veri işleyenlerin bu esaslı değişiklikleri bir an önce içselleştirmesi, metinlerini ve aksiyonlarını yeni düzenlemelere göre tekrar kurgulanması gerekecek. Özellikle açık rıza ile ilgili yeni kurgular benimsendiği için tüm süreçler bu perspektifle gözden geçirilmeli.
İlgili değişiklikler, her ne kadar birkaç maddede değişiklik getiriyor olsa da; kişisel veri işleme süreçlerinin esasındabüyük değişiklikler gerektirecek.