Şubat 2024 Newsletter
Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun’un Yurt Dışı Veri Aktarımı Konusunda Getirdiği Değişiklikler Nelerdir?
6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK” veya “Kanun”) ilişkin uzun süredir beklenen değişiklikler, 16 Şubat’ta TBMM’ye sunulan ‘Ceza Muhakemesi Kanunu ile Bazı Kanunlarda ve 659 Sayılı Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Teklifi’ (“Kanun Teklifi”) ile gündeme gelmiş ve bu değişiklikler TBMM Genel Kurulu’nda kabul edilmiştir. Kanun değişikliklerinin Cumhurbaşkanlığı tarafından onaylanmasını takiben Resmi Gazete’de yayımlanarak 1 Haziran 2024 tarihinde yürürlüğe girmesi beklenmektedir.
Ülkenin gelişen ve değişen şartları göz önünde bulundurularak uygulamada yaşanan sorunların giderilmesi ve hak kayıplarının önlenmesi amacıyla, nitelikli yargı hizmetlerinin sunumu için doğan ihtiyacı karşılamayı hedefleyen Kanun Teklifi, birçok Kanun bakımından dikkat çekici değişiklikler öngörmekteydi.
7499 Sayılı Ceza Muhakemesi Kanunu ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun (“7499 Sayılı Kanun”), KVKK bakımından “özel nitelikli kişisel verilerin işlenme şartları, yurt dışına veri aktarımı, idari para cezalarına itiraz” konularına ilişkin esaslı düzenlemeler getirmektedir.
Bu ayki blog yazımızda 7499 Sayılı Kanun’un KVKK’nın yurt dışı veri aktarımı hususunda öngördüğü değişiklikler değerlendirilecektir.
KVKK’nın Mevcut Durumda Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Düzenlemeleri
Verilerin yurt dışına aktarılması hususuna ilişkin düzenlemeler, KVKK’nın ‘kişisel verilerin yurt dışına aktarılması’ başlıklı 9. maddesi ile hükme bağlanmıştır. İlgili maddenin birinci fıkrasına göre kişisel veriler ‘ilgili kişinin açık rızası ile’ yurt dışına aktarılabilmektedir.
İlgili kişinin açık rızası aranmaksızın kişisel verilerin yurt dışına aktarılabilmesi için ise, maddenin mevcut ikinci fıkrasına göre ‘Kanunun 5 inci maddesinin ikinci fıkrası ile 6 ncı maddesinin üçüncü fıkrasında belirtilen şartlardan birinin bulunması’ ve ‘Kurul tarafından kişisel verilerin aktarılacağı ülke bakımından yeterli korumanın bulunduğuna karar verilmiş olması (yeterlilik kararı)’ gerekmektedir. Öte yandan hakkında yeterli korumayı sağladığı yönünde karar bulunmayan ülkelere ilgili kişinin açık rızası aranmaksızın veri aktarımı ise ancak, ‘Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri’ ve ‘Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması’ şartıyla mümkün olmaktadır.
Uygulamaya baktığımızda ise, kişisel verilerin yurt dışına aktarılabilmesi ilgili kişilerden açık rıza alınması dışında, Türkiye’deki ve ilgili yabancı ülkedeki veri sorumluları tarafından taahhütname imzalanması ve Kurul’un izninin alınması ile gerçekleştirilebilmektedir. Bu kapsamda Kurul’a sekseni aşan sayıda taahhütname başvurusu yapıldığı fakat çok az sayıda başvurunun kabul edildiği görülmektedir. Dolayısıyla mevcut durumda uygulamada kişisel verilerin yurt dışına aktarılabilmesi, ilgili maddenin öngördüğü seçeneklerden yalnızca ‘ilgili kişilerden açık rıza alınması’ yoluna bağlı hale getirilmiştir.
Kişisel Verilerin Yurt Dışına Aktarılması Maddesine İlişkin Kabul Edilen Değişiklikler
7499 Sayılı Kanun’un 34. maddesi, KVKK’nın kişisel verilerin yurt dışına aktarılması hususunu düzenleyen 9. maddesinde değişiklikler öngörmektedir. İlgili hükümde, verilerin yurt dışına aktarılabilmesi için ön şartın ‘Kanun’un 5'inci ve 6'ncı maddelerinde belirtilen şartlardan birinin mevcut olması’ olduğu görülmektedir. Dolayısıyla Kanun’un hukuka uygun veri işleme şartlarından birinin varlığı olmaksızın yurt dışına veri aktarımı gerçekleştirilemeyecektir. Bu şartın sağlanması halinde ise ilgili maddenin, yurt dışı veri aktarımına ilişkin farklı senaryolar öngördüğü görülmektedir:
1. Senaryo: Veri Aktarımının Yapılacağı Ülke, Uluslararası Kuruluş veya Ülke İçerisindeki Sektörler Hakkında Kurul Tarafından Verilen ‘Yeterlilik Kararının’ Bulunması:
7499 Sayılı Kanun’un 34. maddesinin birinci fıkrasına baktığımızda, ön şart ile birlikte “aktarımın yapılacağı ülke, uluslararası kuruluş veya ülke içerisindeki sektörler hakkında yeterlilik kararı bulunması” halinde yurt dışına veri aktarımının gerçekleştirilebileceği öngörülmüştür. Madde gerekçesinde ifade edildiği üzere, mevcut hükümden farklı olarak yabancı ülkenin tamamı yerine o ülke içerisindeki bir sektör veya uluslararası kuruluş özelinde de yeterlilik kararı verilmesi halinde veri aktarımı mümkün kılınmıştır. Gerekçede bu hususa örnek olarak, Türkiye’nin otomotiv sektöründe yoğun ilişki içinde olduğu bir ülke bakımından, o ülkenin tamamı yerine yalnızca otomotiv sektörü bakımından yeterlilik kararı verilmesi ile veri aktarımı gerçekleştirilebileceği gösterilmiştir.
İlgili hükmün ikinci fıkrasında ise yeterlilik kararının alınmasına ilişkin usuller düzenlenmiştir. Fıkrada yeterlilik kararının Kurul tarafından verileceği, verilen bu kararın Resmi Gazete’de yayımlanacağı ve Kurul’un ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alarak yeterlilik kararını en geç dört yılda bir değerlendireceği ifade edilmiştir. Ayrıca aynı fıkrada Kurul’a, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını “ileriye etkili olmak üzere değiştirme, askıya alma veya kaldırma” yetkisinin de verildiği görülmektedir. Yeterlilik Kararı verilirken dikkate alınacak hususlar ise üçüncü fıkrada sayılmaktadır. Ayrıca 7499 Sayılı Kanun’da bu ölçütlerin sınırlı sayıda olmadığı, Kurul’un karar verirken gerekli gördüğü başkaca hususları da dikkate alabileceği belirtilmektedir.
2. Senaryo: İlgili Kişinin Aktarımın Yapılacağı Ülkede Haklarını Kullanma ve Etkili Kanun Yollarına Başvurma İmkanının Bulunması Kaydıyla ‘Uygun Güvencelerden’ Birinin Taraflarca Sağlanması
Ön şart sağlanmakla birlikte, yeterlilik kararının bulunmaması durumunda veri aktarımının nasıl gerçekleştirileceği hususuna ilişkin düzenleme 7499 Sayılı Kanun’un 34. maddesinin 4. fıkrasında yer almaktadır. İlgili hükme göre, 5 inci ve 6 ncı maddelerdeki veri işleme şartlarından birinin yani ön şartın varlığı halinde, aktarımın yapılacağı ülkede de ilgili kişinin haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması şartıyla aynı fıkrada dört bent halinde sayılan ‘uygun güvencelerden’ birinin taraflarca sağlanması durumunda yurt dışına veri aktarımı yapılabilecektir. Bu güvenceler incelendiğinde, bazı güvencelerin Kurul’un izninine tabi olduğu görülmektedir:
Kurul’un Aktarıma İzin Vermesinin Arandığı Güvenceler: Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye'deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan “uluslararası sözleşme niteliğinde olmayan anlaşma” ve yeterli korumayı sağlayacak hükümlerin yer aldığı “yazılı bir taahhütname”.
Kurul’un Aktarıma İzin Vermesinin Aranmadığı Güvenceler: Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden “standart sözleşme” ve ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü olduğu “kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kuralları” .
3. Senaryo: İstisnai Durumlarda Arızi Olmak Kaydıyla 7499 Sayılı Kanun’da Öngörülen Hallerden Birinin Mevcut Olması
Birinci ve ikinci senaryolarda öngörülen; yeterlilik kararının bulunmaması ve ilgili maddenin dördüncü fıkrasında öngörülen uygun güvencelerden herhangi birinin sağlanamadığı durumlarda, 7499 Sayılı Kanun istisnai bir düzenleme getirmiştir. Arızi, diğer bir deyişle tek seferlik/süreklilik arz etmeyecek şekilde olmak kaydıyla 7499 Sayılı Kanun’un 34. maddesinin altıncı fıkrasındaki hallerden birinin varlığı halinde kişisel veriler yurt dışına aktarılabilecektir.
Bu haller; “ilgili kişinin muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi”, “aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması”, “aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması”, “aktarımın üstün bir kamu yararı için zorunlu olması”, ”bir hakkın tesisi, kullanılması veya korunması için aktarımın zorunlu olması”, “fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için aktarımın zorunlu olması”, “kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması” olarak sayılmaktadır.
İlgili madde ile altıncı fıkrada öngörülen ilk üç halin, kamu kurum ve kuruluşlarının kamu hukukuna tabi faaliyetleri bakımından uygulanmayacağı düzenlemesi ile işbu maddeye bir istisna da getirilmiştir.
7499 Sayılı Kanun’un Öngördüğü Yurt Dışına Veri Aktarımı Kapsamında Önem Arz Eden Diğer Hususlar
Bildirim Yükümlülüğü:
7499 Sayılı Kanun’un yürürlüğe girmesi halinde yukarıda açıklanan ikinci senaryoda öngörülen standart sözleşmelerin, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilmesi gerekecektir. Nitekim kanun değişikliğinin idari para cezalarına ilişkin değişiklik öngören ilgili maddesinde, bildirim yükümlülüğünün yerine getirilmemesi idari para cezası yaptırımına bağlanmıştır.
Devam Eden Veri Aktarımları:
Belirtmek gerekir ki, kişisel verilerin yurt dışına aktarılmasından sonra devam eden her bir aktarım bakımından bu madde hükümleri uygulanacak ve Kanun’un öngördüğü güvenceler sağlanacaktır.
Değişiklik Yapılmayan Hükümler:
Mevcut durumda KVKK’nın 9. maddesinin beşinci ve altıncı fıkralarındaki düzenlemelerde herhangi bir değişiklik yapılmamış ve 7499 Sayılı Kanun’un 34. maddesinin dokuzuncu ve onuncu fıkralarında ilgili hükümlerin getirdiği düzenlemeler korunmuştur.
Kanun değişikliğinin 34. maddesinin dokuzuncu fıkrası, KVKK’nın 9. maddesinin beşinci fıkrasında halihazırda öngörülen düzenlemeleri içermektedir. İlgili hükümde Türkiye'nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul'un izniyle yurt dışına veri aktarımı yapılabileceği ifade edilmektedir. 7499 Sayılı Kanun ile KVKK’nın 9. maddesinin altıncı fıkrasında yer alan düzenlemeye ilişkin de herhangi bir değişiklik yapılmadığı görülmektedir.
Sonuç
Yukarıda detayları ile açıklandığı üzere 7499 Sayılı Kanun yurt dışına veri aktarımı konusunda açık rıza eksenli yaklaşımdan uzaklaşarak esaslı değişiklikler öngörmektedir. Bu kapsamda çok sayıda şirket ve gerçek kişi tarafından sunucuları yurt dışında bulunan uygulama ve platformların kullanıldığı, yurt dışı tabanlı bulut hizmetlerinden yararlanıldığı hususu göz önünde bulundurulduğunda öngörülen değişikliklerin yürürlüğe girmesi halinde birçok kişiye temas etmesi kaçınılmaz olacaktır. Kanun değişikliğinde yer alan “kişisel verilerin yurt dışına aktarılmasına dair maddenin uygulanmasına ilişkin usul ve esasların yönetmelikle düzenleneceği” hükmünden hareketle, değişikliklerin yürürlüğe girmesi halinde maddenin uygulamasına ilişkin çerçevenin çıkarılacak Yönetmelik ile çizileceği anlaşılmaktadır. Bu kapsamda yurt dışına veri aktarımının yalnızca ilgili kişilerden açık rıza alınmasına bağlandığı mevcut durumda, yapılması öngörülen değişikliklerin kanun değişikliği ile de hedeflenen GDPR’yle uyum sağlanması ve uygulamadaki ihtiyaçların karşılanması yönünde önemli bir adım olacağını değerlendirmekteyiz.
