Av. Sinan Görkem Gökçe
12 Mart 2024’te 8. Yargı Paketi olarak da anılan kanun değişikliği Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kişisel Verilerin Korunması Kanunu’nda (KVKK) uzun süredir beklenen değişiklikler anılan kanun değişikliği ile gerçekleşti.
KVKK, kişisel verilerin işlenmesine dair veri sorumlularının uyması gereken yükümlülükleri düzenliyor. Bu kapsamda, KVKK’da uzun süredir tartışmalı olan temelde iki konuda kritik değişiklikler oldu. Yeni değişikliklerle yurt dışına kişisel veri aktarımı ve özel nitelikli kişisel verilerin işlenme şartlarına dair önemli değişiklikler getirildi.
Özel Nitelikli Kişisel Verilerin İşlenme Şartları Değişti
Sağlık, cinsel hayat, sendika ve vakıf üyeliği bilgileri ile biyometrik veriler özel nitelikli kişisel veriler olarak düzenleniyor. Yeni değişikliklerde de özel nitelikli kişisel verilerin neler olduğu değişmedi. Ancak değişiklik öncesinde KVKK, bu verileri halihazırda sağlık ve cinsel hayat verileri ve diğer özel nitelikli kişisel veriler olarak ayırıyordu. KVKK’daki yeni değişiklikler birlikte, bu ayrımı büyük ölçüde ortadan kalktı.
Bu alandaki en önemli yenilik, pratik dünyada sıkça karşılaşılan istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki veri işleme faaliyetleri için getirilen düzenleme. Bu kapsamda, ilgili kişinin açık rızası olmasa dahi, gerekli şartlar sağlanırsa, bu sayılan alanlardaki hukuki yükümlülüklerin yerine getirilmesi için verilerin işlenmesi mümkün olabilecek.
Kişisel Verilerin Yurt Dışına Aktarılması Sil Baştan Düzenlendi
Kanun, kişisel verilerin yurt dışına aktarılması için tamamen yeni ve önceki düzenlemelerle farklı bir sistematik benimsiyor. Buna göre; artık üç kademeli ve alternatifli bir aktarım rejim var.
Yeni düzenlemelere göre artık ilgili kişinin açık rızasının olması, verinin yurt dışına aktarılmasına doğrudan imkan vermeyecek. Bu kapsamda, veri sorumlusu ve veri işleyen;
- Kişisel verinin aktarılacağı ülke veya spesifik sektörler için Kurul tarafından verilmiş bir yeterlilik kararı sorgulayacak. Henüz Kurul tarafından bu yönde verilmiş bir karar yok.
- Yeterlilik kararı yoksa; taraflar ancak belirlenen güvencelerden birini sağlaması halinde verileri yurt dışına aktarabilecek.
- Taraflar güvenceleri de sağlayamıyorsa; sadece “arızi durumlar” için yurt dışına kişisel veri aktarımı yapabilecek. Sürekli kişisel veri aktarımları için kişilerin açık rızasının alınması, artık yurt dışına aktarıma imkan vermeyecek.
Bu noktada, uygun güvenceler arasında yer alan standart sözleşmelerden bahsetmek gerekir. GDPR uygulamasına örneklerine rastladığımız standart sözleşmeler, henüz Kurul tarafından ilan edilmedi. Bununla birlikte, standart sözleşmelerin Kurul’a bildirilmesi için de elektronik bir sistem kurulmasını bekliyoruz. Bu konu ikincil düzenlemelerin de yayımlanmasıyla netleşecek.
Bununla birlikte, arızi olmak kaydıyla kişisel verilerin yurt dışına aktarılabileceği ilk hal ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. Bu kapsamda, yeni düzenlemeyle birlikte, açık rızaya dayalı yurt dışına veri aktarımı kısıtlanmış oldu.
Yurt Dışına Aktarımda Kullanılacak Standart Sözleşmeler 5 İş Günü İçinde KVK Kurumu’na Bildirilecek
Yurt dışına veri aktarımı için uygun güvence yöntemlerinden biri olan “standart sözleşmeler” veri sorumlusu veya veri işleyen tarafından 5 iş günü içinde KVK Kurumu’na bildirilecek. Aksi halde, 50.000 Türk Lirası’ndan 1.000.000 Türk Lirası’na kadar idari para cezası düzenlenebileceği öngörülüyor. Bu konu, standart sözleşmeler konusunda GDPR’dan farklılaşa bir nokta olduğunu söyleyebiliriz.
Geçiş Düzenlemeleri: 1 Eylül 2024’e Kadar Tüm Uyum Çalışmaları Gözden Geçirilmeli
Kanun, iki aşamalı bir geçiş öngördü. Buna göre; açık rızaya dayalı yurt dışına veri aktarımı düzenlemeleri 1 Eylül 2024’e kadar uygulanacak, bu tarihten sonra açık rızaya dayalı yurt dışına sürekli kişisel veri aktarımı gerçekleştirilmemeli. Kalan düzenlemeler, 1 Haziran 2024’te yürürlüğe girecek.
Uyumluluk İçin Ne Yapmalı?
Bu durumda veriyle temas eden herkes (veri işleyenler de dahil) tüm veri aktarım süreçlerini tekrar kurgulamak zorunda olduğunu söyleyebiliriz. Çünkü artık açık rızaya dayalı aktarım (eğer arızi bir durum yoksa) mümkün değil.
Veri sorumluları ve veri işleyenlerin bu esaslı değişiklikleri içselleştirmesi, yeni düzenlemelere uygun aydınlatma süreçleri tasarlaması, veri aktarım taahhütlerinin ve veri aktarımlarının yeni düzenlemelere göre tekrar kurgulanması önemli. Nitekim, ilgili kişilerin açık rızasına başvurulabilecek haller tekrar tespit edilmeli ve buna uygun yöntemler belirlenmeli.
Bu değişiklikler ve ikincil düzenlemelerin de yayımlanmasıyla kapsamlı bir KVKK uyum çalışması yürütülmesi, var olan projelerin ise bu değişiklikler kapsamında güncellenmesi gerekeceğini düşünüyorum.
Son olarak gündemde kendine sıkça yer “Paypal ve Applepay” gibi uygulamalar için de bu değişiklikleri değerlendirmek isterim. Paypal ve Applepay gibi kuruluşlara yönelik ödeme mevzuatından kaynaklı birçok yükümlülük ve kısıtlama var. Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine ilişkin Tebliğ m. 21 uyarınca ödeme ve elektronik para kuruluşlarının “birincil ve ikincil sistemleri ile veri yedekleme merkezlerini yurt içinde bulundurmaları” zorunludur. Bu sebeple, Paypal ve Applepay gibi ödeme ve elektronik para kuruluşlarının birincil ve ikincil sistemler ile veri yedekleme merkezleri burada olması gerekli. Bunun temel sebebi de veri lokalizasyonunu sağlayabilmek. Başka deyişle, ödeme ve elektronik para kuruluşlarının verilerini Türkiye’de tutma zorunluluğu asıl olarak KVKK’dan kaynaklanmıyor, ödeme ve para kuruluşları ile ilgili mevzuattan kaynaklanıyor. Bu sebeple de yasakların kalktığını söylemek doğru bir değerlendirme değil.
Bununla birlikte, Yatırım Ortamını İyileştirme Koordinasyon Kurulu (YOİKK) 2024 yılı Eylem Planı kapsamında bu konuya ilişkin de özel hedef var. Söz konusu Eylem Planı’nda;Sınır Aşan Veri Transferleri Mevzuatı Risk Değerlendirme Komisyonu kurularak KVKK dışındaki sektörel düzenlemelerde parçalı bir şekilde yer alan veri lokalizasyonuna yönelik hükümlerin, verilerin korunması ile veriye dayalı ticari hayatın etkin şekilde sürdürülebilmesi arasında “makul denge” kurulması ilkesi doğrultusunda gözden geçirilmesinin hedeflendiğini de belirtmek isterim.
Özetle KVKK’daki ilgili değişiklikler, her ne kadar birkaç maddede değişiklik getiriyor olsa da; kişisel veri işleme süreçlerinin esasında büyük değişiklikler gerektirecek.
KVKK’daki değişikliklerle başlayacak uyum döneminin herkes için verimli olmasını umuyoruz.
Av. Görkem Gökçe
1981 Kırklareli doğumludur. Öğrenim hayatını Kadıköy Anadolu Lisesi, Üsküdar Amerikan Lisesi, İstanbul Üniversitesi ve Harvard Üniversitesi’nde sürdürmüştür. Halen İstanbul Üniversitesi Hukuk Fakültesi’nde lisansüstü çalışmalarını sürdürmektedir. Yaklaşık yirmi yıllık hukuk kariyerine sahip olan Görkem Gökçe; Gökçe Avukatlık Ortaklığı’nın kurucusudur. Kendisi bilişim ve teknoloji hukuku ile teknoloji yatırımları alanında uzman kabul edilmektedir. Kadir Gökçe Vakfı ve Trakya Güneşi Platformu’nun kurucu başkanıdır.
